Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bettina Sokol (Hrsg.)<br />
<strong>Neue</strong> <strong>Instrumente</strong><br />
<strong>im</strong> <strong>Datenschutz</strong><br />
Düsseldorf 1999
Herausgeberin:<br />
Die Landesbeauftragte<br />
für den <strong>Datenschutz</strong><br />
Nordrhein-Westfalen<br />
Bettina Sokol<br />
Reichsstraße 43<br />
40217 Düsseldorf<br />
Tel.: 0211/38424-0<br />
Fax: 0211/3842410<br />
E-mail: datenschutz@mail.lfd.nrw.de<br />
Diese Broschüre kann unter www.lfd.nrw.de oder<br />
www.nordrhein-westfalen.datenschutz.de abgerufen werden.<br />
ISSN: 0179-2431<br />
Druck: Klüsener-Druck, Wuppertal<br />
Gedruckt auf chlorfrei gebleichtem Recyclingpapier
Vorwort<br />
Die Professoren Dr. Thomas Hoeren und Dr. Bernd Holznagel,<br />
LL.M. vom Institut für Informations-, Telekommunikations- und<br />
Medienrecht der Westfälischen Wilhelms-Universität Münster und<br />
ich als Landesbeauftragte für den <strong>Datenschutz</strong> haben am 28. November<br />
1998 gemeinsam das Symposium "<strong>Neue</strong> <strong>Instrumente</strong> <strong>im</strong> <strong>Datenschutz</strong>"<br />
veranstaltet. Mit dem vorliegenden Band werden die dort<br />
gehaltenen Vorträge dokumentiert. Die Vortragstexte sind zum Teil<br />
um Fußnoten ergänzt.<br />
Das Symposium hätte in dieser Form nicht stattfinden können, ohne<br />
die freundliche Unterstützung der Da<strong>im</strong>lerChrysler AG, für die an<br />
dieser Stelle nochmals gedankt sei. Ebenfalls ist den Mitarbeiterinnen<br />
und Mitarbeitern sowohl des Instituts als auch meiner Dienststelle,<br />
die die Veranstaltungsorganisation und die Erstellung des<br />
Dokumentationsbandes in die Hand genommen haben, ein herzlicher<br />
Dank auszusprechen.<br />
Düsseldorf 1999<br />
Bettina Sokol
Inhaltsverzeichnis<br />
Prof. Dr. Peter Schüren<br />
Begrüßung 1<br />
Landesdatenschutzbeauftragte Nordrhein-Westfalen<br />
Bettina Sokol<br />
Eröffnung 3<br />
Prof. Dr. Dr. h. c. Spiros S<strong>im</strong>itis<br />
Die Erosion des <strong>Datenschutz</strong>es<br />
- Von der Abstumpfung der alten Regelungen und den<br />
Schwierigkeiten, neue <strong>Instrumente</strong> zu entwickeln - 5<br />
Prof. Dr. Alexander Roßnagel<br />
<strong>Datenschutz</strong>audit 41<br />
Berliner <strong>Datenschutz</strong>beauftragter<br />
Prof. Dr. Hansjürgen Garstka<br />
Vorabkontrolle durch behördliche und betriebliche<br />
<strong>Datenschutz</strong>beauftragte 64
Georg Schyguda<br />
Nutzende und <strong>Datenschutz</strong> <strong>im</strong> Electronic Commerce:<br />
- Empirische Befunde und exemplarische Lösungsansätze<br />
der IuK-Industrie - 74<br />
Priv. Doz. Dr. Herbert Burkert<br />
Informationszugangsrecht und <strong>Datenschutz</strong> 88<br />
Prof. Dr. Thomas Hoeren/Sven Lütkemeier<br />
Unlauterer Wettbewerb durch <strong>Datenschutz</strong>verstöße 107
Begrüßung<br />
Peter Schüren<br />
Meine sehr verehrten Damen und Herren, als Dekan der rechtswissenschaftlichen<br />
Fakultät dieser Universität habe ich die Ehre und<br />
Freude, Sie heute zum Symposium "<strong>Neue</strong> <strong>Instrumente</strong> <strong>im</strong> <strong>Datenschutz</strong>"<br />
zu begrüßen. Dieses Symposium wird von der Beauftragten<br />
für den <strong>Datenschutz</strong> unseres Bundeslandes und vom Institut für Informations-,<br />
Telekommunikations- und Medienrecht unserer Universität<br />
getragen. Dieses Institut, das die Veranstaltung mitträgt und das<br />
von Herrn Kollegen Holznagel und Herrn Kollegen Hoeren geleitet<br />
wird, manifestiert, daß sich unsere Fakultät den Entwicklungen der<br />
Rechtswissenschaft auf diesem Feld nicht nur geöffnet hat, sondern<br />
daß unsere Fakultät an der Gestaltung dieser Entwicklungen teilhaben<br />
will. Erlauben Sie mir aber eine Bemerkung zum Thema selbst:<br />
Der <strong>Datenschutz</strong> hat in meinem Fach, dem Arbeitsrecht, derzeit eine<br />
geringere Konjunktur als noch vor einigen Jahren. Vor einigen Jahren<br />
begegnete man den vorgetragenen Möglichkeiten und Gefahren<br />
der elektronischen Datenverarbeitung mit dem einer unverständlichen,<br />
jedenfalls aber unverstandenen Novität gebührenden Schrecken.<br />
Es gab Phantasien der vollkommenen Überwachung, vor denen<br />
die Arbeitnehmer bewahrt werden sollten. In der Folge erreichten die<br />
Betriebsräte ein umfassendes Mitbest<strong>im</strong>mungsrecht über den § 87<br />
Abs. 1 Nr. 6 Betriebsverfassungsgesetz bei allen Fragen der Personaldatenverarbeitung.<br />
Inzwischen ist die elektronische Datenverarbeitung<br />
Betriebsmittel nahezu aller ernsthaften markttätigen Unternehmen.<br />
Heute geht es eher darum, daß die Betriebsräte umfassenderen<br />
Netzzugang fordern und erhalten. Daten-, also Informationsverarbeitung<br />
in vernetzten Systemen ist Alltag. Damit reduziert sich der<br />
1
Moment des Schreckens, der Beängstigung vor dem unverständlichen,<br />
unvertrauten Medium. 1984 ist 14 Jahre vorbei - übrigens ein<br />
wirklich gutes, wenig gelesenes Buch. Der <strong>Datenschutz</strong> heute kann<br />
mit mehr Realismus betrieben werden. Auseinandersetzungen wie <strong>im</strong><br />
Vorfeld des berühmten Volkszählungsurteils sind nicht mehr zu erwarten.<br />
Uns interessiert eher, wie wir Daten vor wirtschaftlich gewichtigem<br />
Mißbrauch schützen. Genug davon, als Laie muß ich<br />
mich hierzu zurückhalten. Ich wünsche Ihrem Symposium, daß es <strong>im</strong><br />
Geiste einer solchen realistischen Betrachtung und auf hohem Niveau<br />
an die Themen herangeht. Ich wünsche Ihnen allen gute Vorträge<br />
und spannende Diskussionen.<br />
2
Eröffnung<br />
Bettina Sokol<br />
Meine sehr verehrten Damen und Herren, auch ich freue mich, Sie<br />
ganz herzlich bei unserem heutigen Symposium begrüßen zu können.<br />
Nach den freundlichen Worten unseres Gastgebers möchte ich mich<br />
mit meiner Eröffnung und den organisatorischen Hinweisen kurz<br />
fassen, um möglichst bald unserem ersten Referenten das Wort geben<br />
zu können.<br />
Der <strong>Datenschutz</strong> steht vor enormen Herausforderungen. Insbesondere<br />
der technischen Entwicklung, aber auch anderen Veränderungen<br />
der tatsächlichen Situation ist unser <strong>Datenschutz</strong>recht mittlerweile<br />
kaum noch gewachsen. Die <strong>Datenschutz</strong>beauftragten fordern schon<br />
seit geraumer Zeit, die notwendige Umsetzung der Europäischen<br />
<strong>Datenschutz</strong>richtlinie in nationales Recht zum Anlaß dafür zu nehmen,<br />
das <strong>Datenschutz</strong>recht von Bund und Ländern umfassend zu<br />
modernisieren. Stichworte sind dabei insbesondere die Stärkung der<br />
Rechte der Bürgerinnen und Bürger hinsichtlich ihrer Informationsund<br />
Auskunftsrechte sowie ihrer Wahlmöglichkeiten. Es geht um<br />
den Grundsatz der Datenvermeidung, um die Forderung, <strong>Datenschutz</strong><br />
auch und gerade durch Technik zu realisieren und außerdem<br />
darum, an dem Grundsatz der Zweckbindung - sowie es auch die<br />
Richtlinie vorschreibt - nach wie vor festzuhalten. Weitestgehend<br />
einheitliche Anforderungen des <strong>Datenschutz</strong>niveaus <strong>im</strong> öffentlichen<br />
wie <strong>im</strong> nicht-öffentlichen Bereich gilt es ebenso zu realisieren wie<br />
eine Aufsicht <strong>im</strong> nicht-öffentlichen Bereich, die aus dem Ministerialstrang<br />
ausgegliedert ist und insofern der Richtlinie entsprechend ihre<br />
3
Tätigkeit tatsächlich in völliger Unabhängigkeit weisungsfrei wird<br />
ausüben können.<br />
Auch der Deutsche Juristentag 1998 hat sich in seinen Beschlüssen<br />
für eine Neuorientierung des <strong>Datenschutz</strong>es ausgesprochen. Ideen<br />
und Vorschläge für einen neuen <strong>Datenschutz</strong> stehen zur Diskussion.<br />
Mit unserem Symposium möchten wir versuchen, einen Beitrag zu<br />
dieser Diskussion zu leisten, und wollen uns heute einigen Überlegungen,<br />
Elementen und neuen <strong>Instrumente</strong>n <strong>im</strong> <strong>Datenschutz</strong> widmen.<br />
4
Die Erosion des <strong>Datenschutz</strong>es<br />
- Von der Abstumpfung der alten Regelungen und den<br />
Schwierigkeiten, neue <strong>Instrumente</strong> zu entwickeln -<br />
Spiros S<strong>im</strong>itis<br />
I. Stand<br />
"Was für eine Privatheit", meinte Umberto Eco <strong>im</strong> August 1998,<br />
"soll eigentlich noch verteidigt werden, wenn niemand mehr daran<br />
interessiert ist, daß sie verteidigt wird" Zugegeben: eine zumindest<br />
auf den ersten Blick befremdliche, ja geradezu schockierende Frage.<br />
Fast ein Vierteljahrhundert nach den ersten, tastenden Versuchen des<br />
Hessischen Gesetzgebers, nahezu siebzehn Jahre nachdem das Bundesverfassungsgericht<br />
<strong>im</strong> Volkszählungsurteil jeden Zweifel am<br />
Verfassungsrang der informationellen Selbstbest<strong>im</strong>mung unmißverständlich<br />
zurückgewiesen hat und <strong>im</strong> vierten Jahr der durch die<br />
Richtlinie zum Schutz personenbezogener Daten illustrierten und<br />
besiegelten Europäisierung des <strong>Datenschutz</strong>es scheint schließlich<br />
alles für eine stete Konsolidierung und nichts für den Zerfall des<br />
<strong>Datenschutz</strong>es zu sprechen. Und doch hat Eco recht, nicht nur gerade<br />
jetzt, sondern überhaupt so vehement Zweifel anzumelden. Mindestens<br />
vier Gründe lassen sich dafür anführen:<br />
1. Proliferation<br />
Die <strong>Datenschutz</strong>gesetze haben, was zuweilen vergessen wird, von<br />
Anfang an ein doppeltes Ziel verfolgt. Sie wollten die Verarbeitung<br />
5
personenbezogener Angaben keineswegs nur in geregelte, gesetzlich<br />
festgeschriebene Bahnen überführen, vielmehr ihr zunächst und vor<br />
allem Einhalt gebieten. Schon der Hessische Landtag hatte den pr<strong>im</strong>ären<br />
Interventionszweck klar angesprochen, das Bundesverfassungsgericht<br />
hat ihn später noch deutlicher formuliert: Der Zugriff<br />
auf personenbezogene Daten bleibt solange versperrt wie die benötigte<br />
Information auch anders erlangt werden kann. Die Anonymität<br />
der Information ist, so gesehen, die Regel, ihre Personalisierung die<br />
Ausnahme. Verarbeitende Stellen unterliegen folglich einem zweifachen<br />
Begründungszwang. Reflexionen über Art und Umfang der zu<br />
verwendenden personenbezogenen Daten dürfen erst angestellt werden,<br />
wenn alternative Informationswege ausscheiden.<br />
Doch genau diese Abfolge ist durch die anscheinend ebenso einleuchtende<br />
wie einprägsame Formel vom Verbot mit Erlaubnisvorbehalt<br />
vernebelt und unterlaufen worden. Sie hat sich zum Einfallstor<br />
einer Interpretation entwickelt, die sich fast ausschließlich auf eine<br />
mögliche Subsumtion unter die gesetzlich tolerierten Verarbeitungskonstellationen<br />
konzentriert, darüber aber die gesetzlich genauso<br />
geforderte Priorität entpersonalisierter Informationen aus dem Blickfeld<br />
n<strong>im</strong>mt. Die <strong>Datenschutz</strong>gesetze haben sich damit mehr und<br />
mehr in bloße Legit<strong>im</strong>ationsinstrumente verwandelt, die nur dazu<br />
dienen, den Umgang mit personenbezogenen Daten zu ordnen, statt<br />
ihn auch und gerade in Frage zu stellen.<br />
So konnte die Verarbeitung fast unbemerkt und ganz <strong>im</strong> Schatten der<br />
Gesetze von Höhepunkt zu Höhepunkt einer schier unaufhaltsamen<br />
Expansion eilen. Der Wandel der Technologie markiert deren Etappen.<br />
Den Anfang machten jene, Ende der sechziger und Anfang der<br />
siebziger Jahre eingerichteten "Datenzentralen", Symbol und Verkörperung<br />
der aufkommenden Computerisierung in einem. Den Zitadellen<br />
des Mittelalters gleich wurden Bund und Länder mit Megaspeichern<br />
überzogen, in denen sich schließlich sämtliche, die Bürgerinnen<br />
und Bürger betreffenden Daten wiederfinden sollten, um nicht<br />
zuletzt eine schnelle und reibungslose Gewährung der unterschiedlichsten<br />
Leistungen ebenso wie deren langfristige Planung sicherzustellen,<br />
die, so dachte man, allein der prospektiven Kosten willen,<br />
eigentlich nur vom Staat und allenfalls noch von einigen wenigen<br />
Großunternehmen aufgebaut werden könnten.<br />
6
Keine zehn Jahre später verschob sich der Schwerpunkt vom Megaauf<br />
den Microcomputer. Die Verarbeitung dezentralisierte sich,<br />
büßte jedoch zugleich ihre Exklusivität ein. Das vermeintliche Monopol<br />
des Staates und der Großunternehmen war endgültig gebrochen.<br />
Mittlere und kleinere Firmen profitierten davon genauso wie<br />
die öffentliche Verwaltung. Kunden-, Lieferanten- und Arbeitnehmerdaten<br />
konnten auf einmal ganz anders "erfaßt", übermittelt und in<br />
<strong>im</strong>mer neuen Kombinationen zusammengestellt werden. Angaben<br />
von Antragstellern ließen sich sehr viel leichter überprüfen, potentielle<br />
Kaufinteressenten weitaus präziser festhalten und gezielter als<br />
bisher ansprechen, ein regulärer Informationsaustausch zur Abwehr<br />
gemeinsamer Risiken ungleich schneller und erfolgreicher durchführen.<br />
Der tragbare Personal-Computer der Außendienstmitarbeiter<br />
registrierte die Schadensquellen der je spezifischen Produkte, sorgte<br />
für eine rechtzeitige Bestellung von Ersatzteilen, hielt Arbeitszeit<br />
und Leistung der jeweiligen Mitarbeiter fest. Computergestützte<br />
Auswahllisten bei betriebsbedingten Kündigungen schirmten den<br />
Arbeitgeber gegen den Vorwurf der Einseitigkeit ab und begannen<br />
eine zunehmend wichtigere Rolle in Kündigungsschutzprozessen zu<br />
spielen. Mit den Laptops und Notebooks zog schließlich der Computer<br />
endgültig in den Alltag ein, wurde zu jedermanns Verarbeitungsinstrument.<br />
Und wieder ließ der nächste qualitative und quantitative Sprung nicht<br />
lange auf sich warten. Diesmal waren es die Chipkarten, die den<br />
Wandel signalisierten. Ihre integrierten, fast beliebig ausbaufähigen<br />
Nanospeicher lösten einen ständig anschwellenden Informationsstrom<br />
aus. Vom stetig wachsenden Angebot an "intelligenten" Kreditkarten,<br />
über die zur selbstverständlichen Voraussetzung aller Arztund<br />
Apothekenbesuche avancierten Versichertenkarte bis hin zu der<br />
zum Mustermerkmal einer "Informationsgesellschaft" erklärten<br />
"Bürgerkarte", überall bahnen Chipkarten den Weg, um noch mehr<br />
und noch detailliertere Informationen über praktisch jeden<br />
Lebensaspekt der Kartennutzer zu sammeln. Vordergründig mögen<br />
zudem Kreditkarten nur ein zusätzliches Zahlungsmittel sein und<br />
auch Versicherungskarten lediglich eine Abrechnungsfunktion haben.<br />
In beiden Fällen zeigt sich freilich deutlicher denn je, daß die<br />
Verarbeitung keineswegs auf einzelne Personengruppen zugeschnitten<br />
oder best<strong>im</strong>mten ebenfalls begrenzten Anlässen vorbehalten ist.<br />
Kreditkarten sind vielmehr universelle Zahlungsmittel und Versi-<br />
7
chertenkarten genauso universell angelegt. Mit beiden universalisiert<br />
sich daher die Verarbeitung. Niemand bleibt letztlich ausgespart und<br />
alle tragen mit jeder neuen Verwendung ihrer Karten dazu dabei,<br />
mehr über sie zu wissen und ihr Profil schärfer zeichnen zu können.<br />
Mit den Chipkarten rückt schließlich der nicht-öffentliche Bereich<br />
definitiv in den Mittelpunkt der Verarbeitung. Die Vision restlos<br />
"verdateter" und exakt "numerierter" Bürger hat zwar <strong>im</strong>mer realere<br />
Züge angenommen, nur sind die privaten Unternehmen in die Rolle<br />
gewechselt, die einst den Behörden reserviert zu sein schien. Sie und<br />
nicht die öffentlichen Stellen sind es also, die vornehmlich registrieren<br />
und katalogisieren. In dem Maße freilich, in dem sich der Akzent<br />
auf die Datenbestände der privaten Unternehmen verschiebt, verwischen<br />
sich auch die Grenzen zwischen öffentlichen und nichtöffentlichen<br />
Datensammlungen. Noch genauer: Die privaten Sammlungen<br />
verwandeln sich mehr und mehr in Informationsmittel, dem<br />
die öffentlichen Stellen eine mindestens genauso große Bedeutung<br />
be<strong>im</strong>essen. Steuererklärungen lassen sich nun einmal gerade mit<br />
Hilfe der über die Kreditkarten vermittelten und präzise aufgezeichneten<br />
Angaben vorzüglich überprüfen. Staatsanwaltschaft und Polizei<br />
können zudem mit eben diesen Daten Bewegungsbilder aufzeichnen,<br />
einen Verdacht erhärten oder gesuchte Personen ausfindig machen.<br />
Ähnlich ist die Lage bei Daten, die <strong>im</strong> Rahmen der Benutzung<br />
von Versichertenkarten anfallen. Nicht von ungefähr hat sich gerade<br />
die Bundesrepublik bei den Beratungen des Rates über die Europäische<br />
<strong>Datenschutz</strong>richtlinie nachdrücklich für das Recht der Mitgliedstaaten<br />
eingesetzt, das angeblich so fundamentale Verbot, "sensitive"<br />
Daten zu verarbeiten (Art. 8 Abs. 1), jedenfalls dann zu<br />
durchbrechen, wenn es um die "Sicherung der Qualität und Wirtschaftlichkeit"<br />
von Verfahren geht, die dazu dienen, die Abrechnung<br />
von Leistungen in den sozialen Krankenversicherungssystemen zu<br />
überprüfen (Erwägungsgrund Nr. 34). Einen besseren Ansatz zu<br />
einer kontinuierlichen Kontrolle der Verhaltensweisen von Ärzten<br />
und Patienten sowie zur gezielten Revision genereller und individueller<br />
Maßnahmen gibt es in der Tat wohl kaum.<br />
Internet beschleunigte und radikalisierte noch einmal den Wandel.<br />
Wo sich das "Netz der Netze" etabliert, globalisiert sich die Kommunikation.<br />
Räumliche und zeitliche Grenzen verkümmern. Doch die<br />
grenzenlose Kommunikation entgrenzt auch die Verarbeitung <strong>im</strong><br />
8
wahrsten Sinne des Wortes. Wer <strong>im</strong>mer sich einklinkt, zahlt einen<br />
hohen Preis: Jede, aber auch wirklich jede Bewegung wird festgehalten.<br />
Dem virtuellen Kaufhaus gelingt so, was dem realen, trotz<br />
aller Anstrengungen, versagt geblieben ist: Es kennt nur gläserne<br />
Kunden. Je breiter sich überdies die Angebotspalette gestaltet, von<br />
den unterschiedlichsten Foren bis hin zu den <strong>im</strong>merfort wachsenden<br />
Dienstleistungs- und Warenangeboten, desto weniger läßt sich auf<br />
Navigationshilfen verzichten. Die Lotsen sind jedoch zumeist "Doppelagenten".<br />
Sie geleiten durchs Netz, melden aber zugleich denjenigen,<br />
von denen sie zur Verfügung gestellt werden, jeden Schritt der<br />
Surfer zurück. Und noch etwas: Internet vollendet jene schon von<br />
den Chipkarten forcierte Universalisierung der Verarbeitung. Weil<br />
das "Netz der Netze" ein dezidiert universales Kommunikationsmittel<br />
ist, das seiner ganzen Intention nach allen, die es nur möchten, offensteht,<br />
werden auch alle, die es nutzen, registriert. Auf den Beruf<br />
oder die soziale Stellung kommt es, so gesehen, ebensowenig an wie<br />
auf das Alter oder das Geschlecht. So gleichgültig allerdings jedes<br />
dieser Merkmale be<strong>im</strong> Zugang ist, so relevant sind sie, sobald die<br />
Spurenauswertung ansteht.<br />
Kurzum, nie zuvor wurden derart viele und dermaßen verschiedene<br />
Daten für so unterschiedliche Zwecke verarbeitet. Formulierungen<br />
wie "Datamining" tauchen eben nicht zufällig auf. Ähnlich den Baggern<br />
in den Bergwerken treiben die Computer Stollen durch die Datenvorkommen<br />
auf der Suche nach bislang ungeahnten Verwertungsmöglichkeiten.<br />
Und wie in den Frühzeiten des "Goldfiebers"<br />
drängen sich <strong>im</strong>mer neue "Mineneigentümer" auf den "Datenmarkt",<br />
stecken die "Datenbesitzer" ihren jeweiligen "Besitz" sorgfältig ab<br />
und versuchen, möglichst schnell möglichst viele weitere "Lagerstätten"<br />
aufzuspüren. Kein Wunder, wenn sich deshalb die Zahl der<br />
"Datawarehouses" in den letzten fünf Jahren verzehnfacht hat und<br />
mittlerweile bei über tausend liegt. Kein Wunder aber auch, daß es,<br />
wie allein das Beispiel von "Axciom" zeigt, fast keine Information<br />
mehr gibt, die nicht abgerufen werden kann. Ganz gleich, ob es darum<br />
geht, wer Katzen, Hunde oder Papageien hat, in einer gemieteten<br />
Dreiz<strong>im</strong>merwohnung oder in einem Eigenhe<strong>im</strong> lebt, in Fast-Foododer<br />
Drei-Sterne-Lokalen ißt, meistens mit der Bahn fährt oder ü-<br />
berwiegend fliegt, Hemden, Schuhe oder Anzüge einer best<strong>im</strong>mten<br />
Marke trägt, Western- oder Pornovideos ausleiht, die Bibel oder<br />
Groschenromane liest, allein oder mit Begleitung den Urlaub ver-<br />
9
ingt, unter siebzig oder über hundert Kilo wiegt, hetero- oder homosexuell<br />
liiert ist, die Antwort erfolgt schnell, präzise und mit allen<br />
jeweils gewünschten Zusatzinformationen versehen. Ebensowenig<br />
überrascht es allerdings, daß sich unter diesen Umständen die Aufmerksamkeit<br />
mehr denn je darauf richtet, die Daten zu sieben, um sie<br />
auf jene Angaben zu reduzieren, die sich am ehesten dazu eignen, die<br />
direkt angesteuerten Betroffenen möglichst von der Unentbehrlichkeit<br />
der jeweiligen Offerte zu überzeugen. Mit den Worten des<br />
"Playboy": "We want to send customers the right message at the<br />
right t<strong>im</strong>e."<br />
2. Routinisierung<br />
Mit der Proliferation der Verarbeitung entwickelt sich der Zugriff auf<br />
personenbezogene Daten mehr und mehr zur Routine. Nur: Anders<br />
als es die massierten Hinweise auf den "numerierten Bürger" und erst<br />
recht die nicht minder häufigen Anspielungen auf "1984" suggerierten,<br />
wird die Verarbeitung den Betroffenen nicht aufgedrängt, sondern<br />
in einer <strong>im</strong>mer größeren Anzahl von Fällen willentlich und wissentlich<br />
von ihnen ausgelöst. Indem sie sich dafür entscheiden, etwa<br />
Kreditkarten zu benutzen oder sich ins Internet einzuschalten, setzen<br />
sie selbst, um ihrer eigenen, je spezifischen Ziele willen jenen Prozeß<br />
in Gang, der dazu führt, ihre Daten zusammenzutragen und in Bausteine<br />
eines jederzeit abrufbaren Profils zu verwandeln.<br />
Die "transparente Gesellschaft" ist, so gesehen, jedenfalls zu weiten<br />
und entscheidenden Teilen, das Produkt der für sie typischen Informations-<br />
und Kommunikationsmittel. Die Routinisierung der Verarbeitung<br />
ist folglich kein beliebig abstellbarer Vorgang, vielmehr<br />
inhärentes Merkmal einer Gesellschaft, in der sich individuelle Aktivitäten<br />
in einem generell akzeptierten und Tag für Tag sanktionierten<br />
technisch-organisatorischen Rahmen abspielen, der Personalisierung<br />
institutionalisiert und Anonymität verdrängt. Das strukturelle Dilemma<br />
der "Informationsgesellschaft" kommt damit deutlich zum<br />
Ausdruck. Einerseits max<strong>im</strong>iert just jene Technologie, die den einzelnen<br />
in die Lage versetzt, seine Informations- und Kommunikationschancen<br />
auf eine neue und bessere Grundlage zu stellen, seine<br />
Manipulierbarkeit und Verletzlichkeit. Andererseits legt eine Gesellschaft,<br />
die es, gerade wegen der unbestreitbaren Vorteile dieser<br />
10
Technologie, als ihr ebenso selbstverständliches wie vordringliches<br />
Ziel ansieht, jede nur denkbare Zugangsbarriere, so schnell wie es<br />
nur geht, abzubauen und es deshalb als eine ihrer wichtigsten bildungspolitischen<br />
Aufgaben betrachtet, Jugendlichen so kurzfristig<br />
wie möglich die Fähigkeit zu vermitteln, mit dieser umzugehen, damit<br />
auch die Korrekturgrenzen fest. Korrekturen, die dazu führen<br />
könnten, die eigentliche Gefahrenquelle, also die Technologie selbst,<br />
in Frage zu stellen, scheiden von Anfang an aus.<br />
3. Steigerung der Zugriffstiefe<br />
Die Verarbeitung war lange Zeit weitgehend auf Daten beschränkt,<br />
die <strong>im</strong>mer nur eine ganz best<strong>im</strong>mte Information vermitttelten. Name,<br />
Adresse, Beruf, Ausbildung, Einkommen sind typische Beispiele<br />
dafür. Die Bedeutung der Information mag je nach dem Verwendungskontext<br />
oder in Verbindung mit zusätzlichen Daten variieren,<br />
ihr Inhalt bleibt trotzdem gleich. In dem Maße jedoch, in dem die<br />
Biotechnologie sich konsolidierte und expandierte, wurden Angaben<br />
in die Verarbeitung einbezogen, die ungleich mehr Informationen<br />
enthalten. Genetische Daten sind das Musterbeispiel dafür. Sie sind<br />
der Schlüssel zur genetischen Konstitution des einzelnen und erlauben<br />
es daher nicht nur, ihn so verläßlich wie noch nie zu identifizieren,<br />
sondern ermöglichen es ebenso, die für ihn typischen genetischen<br />
Defizite und Risiken auszumachen. Mit jeder Lücke freilich,<br />
die aus der in weltweiter Kooperation zusammengesetzten genetischen<br />
Charta verschwindet, tritt auch die Ambivalenz dieser bislang<br />
wohl einmaligen Kombination von Diagnose und Prognose und damit<br />
jeder Verarbeitung genetischer Daten noch deutlicher zutage. Sie<br />
ist Erkenntnis- und Steuerungsmittel in einem.<br />
Beides ist sicherlich früh genug angesprochen worden. Doch die<br />
Steuerungsfunktion geriet, jedenfalls soweit es um die möglichen<br />
Gefährdungen der Betroffenen geht, zunehmend aus dem Blick. Von<br />
den Vorteilen, die eine Verarbeitung genetischer Daten auch und<br />
gerade für den einzelnen mit sich bringt, war dafür um so mehr die<br />
Rede. Tatverdächtige könnten zum ersten Mal ihre Unschuld wirklich<br />
einwandfrei beweisen, zu Unrecht in Anspruch genommene<br />
"Väter" sich besser denn je gegen unberechtigte Unterhaltszahlungen<br />
wehren, Beschäftigte gezielt und rechtzeitig vor dem Umgang mit<br />
11
est<strong>im</strong>mten, für sie schädlichen Substanzen bewahrt, potentielle<br />
Krankheitsursachen entschieden früher offengelegt und weitaus erfolgreicher<br />
bekämpft werden. Kaum verwunderlich, daß etwa der<br />
Bundesbeauftragte für den <strong>Datenschutz</strong> seine Bedenken gegen den<br />
"genetischen Fingerabdruck" <strong>im</strong> Interesse der Betroffenen zurückstellte.<br />
Ebensowenig überrascht es, daß Rat und Kommission, nicht<br />
zuletzt mit Rücksicht auf die Vorteile für die Betroffenen, ausdrücklich<br />
darauf verzichtet haben, die genetischen Daten in die Liste jener<br />
in Art. 8 Abs. 1 der EG-<strong>Datenschutz</strong>richtlinie ausdrücklich aufgezählten<br />
Angaben aufzunehmen, deren Verwendung grundsätzlich<br />
untersagt ist. Die Verarbeitung genetischer Daten wurde damit <strong>im</strong><br />
Ergebnis weitgehend freigegeben. Art. 8 kann nur noch über eine<br />
Subsumtion der genetischen Angaben unter die Gesundheitsdaten<br />
zum Zuge kommen und auch dann lediglich, soweit gesundheitsspezifische<br />
Aspekte zur Debatte stehen. Wohlgemerkt, bei den ständig<br />
wiederkehrenden Hinweisen auf ausgeprägt individuelle Interessen<br />
an der Verwendung genetischer Daten ist es keineswegs geblieben.<br />
Im Gegenteil, in der Argumentation für eine Verarbeitung wurden<br />
von Anfang an individuelle und öffentliche Belange gezielt miteinander<br />
verknüpft. Neben dem Nutzen für die Betroffenen wurden<br />
deshalb vor allem die Aufklärung und Prävention von Straftaten, die<br />
Verbesserung des generellen Gesundheitszustandes sowie die Senkung<br />
der Krankheits- und Pflegekosten mindestens genauso nachdrücklich<br />
betont, um das öffentliche Interesse an einer breit angelegten,<br />
kontinuierlich ausgebauten Erhebung genetischer Daten zu<br />
illustrieren.<br />
Die Folgen ließen nicht lange auf sich warten. Die eine Zeit lang<br />
noch kritisch betrachteten "genetischen Fingerabdrücke" entwickelten<br />
sich schnell zur Grundlage eigens aufgebauter "genetischer Datenbanken"<br />
sowie zum Ansatzpunkt systematisch praktizierter "genetischer<br />
Rasterfahndungen" und die zunächst nur unter repressiven<br />
Gesichtspunkten angelegte Verwendung wurde durch <strong>im</strong>mer konkretere<br />
Pläne für eine präventive Verarbeitung genetischer Daten<br />
ergänzt. Mindestens ebenso signifikant sind unternehmerische Aktivitäten,<br />
wie etwa die Operationen der isländischen Firma "Decode<br />
Genetics". Sie verfolgt zwei durchaus verschiedene, allerdings eng<br />
zusammenhängende Ziele. Das Unternehmen will nicht nur ein unter<br />
Forschungsgesichtspunkten in seiner, allein schon wegen der langen<br />
Isolation Islands, Kontinuität und Geschlossenheit einmaliges "gene-<br />
12
tisches Material" sichern und verarbeiten, sondern zugleich die Forschungsergebnisse<br />
nutzen, um die Auswirkungen genetischer Defekte<br />
durch neue medizinische Präparate aufzufangen oder zumindest<br />
abzumildern. "Decode Genetics" möchte deshalb die genetischen<br />
Daten aller Isländer registrieren sowie die seit 1915 geführten umfassenden<br />
Krankheitsregister auswerten und ist zugleich eine enge<br />
Kooperation mit dem schweizerischen pharmazeutischen Unternehmen<br />
Hoffmann-La Roche eingegangen. Weder das Forschungs- noch<br />
das konkrete Auswertungsziel lassen sich allerdings nach Meinung<br />
des Unternehmens ohne ein Verarbeitungsmonopol und die damit<br />
verbundene Möglichkeit erreichen, Hoffmann-La Roche sowie einer<br />
Reihe weiterer Unternehmen, zu denen auch Versicherungsgesellschaften<br />
zählen, eine exklusive Verwertung der Forschungsergebnisse<br />
für ihre je spezifischen Zwecke zu garantieren. Die isländische<br />
Regierung reagierte durchaus positiv. Die angestrebte Verarbeitung<br />
und Verwertung der genetischen Daten bietet in ihren Augen einem<br />
Land, das über kaum andere Ressourcen verfügt, singuläre Chancen.<br />
Das isländische Parlament hat sich diesem Standpunkt weitgehend<br />
angeschlossen und ihn durch ein Ende 1998 verabschiedetes Gesetz<br />
bekräftigt.<br />
Die Grundlage für ähnliche, sich bereits abzeichnende Projekte ist<br />
damit gelegt. Am schon deutlich erkennbaren Ende eines sorgfältig<br />
geplanten Weges stehen überall Datenbanken, die über ein in dieser<br />
Präzision bislang nie gebotenes Abbild ganzer Populationen verfügen.<br />
Sie wecken <strong>im</strong>mer größere Erwartungen privater und öffentlicher<br />
Verarbeitungsinteressenten und drängen sich fast von selbst für<br />
eine Vielzahl von Verwendungen auf, die den Kreis der anfänglich<br />
verfolgten Verarbeitungsabsichten bei weitem überschreiten. Die<br />
Plausibilität der ursprünglichen, gleichsam eind<strong>im</strong>ensionalen Verarbeitungszwecke<br />
versperrt freilich den Blick für die in der Erhebung<br />
und Konzentration genetischer Daten angelegte Mehrd<strong>im</strong>ensionalität<br />
späterer Verwendungen. <strong>Datenschutz</strong> ist aber unverändert auch und<br />
gerade dezidierte Abwehr einer multifunktionalen Nutzung personenbezogener<br />
Angaben. Genau diese Gefahr vervielfacht sich durch<br />
die Verarbeitung genetischer Daten. Wo die Anzahl der Interessenten<br />
so sprunghaft ansteigt und sich ihre Erwartungen so ausfächern,<br />
nehmen nicht nur Diskr<strong>im</strong>inierungen der Betroffenen schlagartig zu.<br />
Vielmehr weiten sich vor allem die zunehmend invasiveren Eingriffe<br />
in die Möglichkeiten der einzelnen aus, ihre Lebenswelt selbst zu<br />
13
gestalten. Gemeint sind etwa die sich häufenden, unter anderem in<br />
der 1996 vorgelegten Studie der Universitäten Harvard und Stanford<br />
dokumentierten Fälle, in denen Arbeits- und Versicherungsverträge<br />
mit Rücksicht auf die genetischen Daten der Betroffenen entweder<br />
gekündigt oder gar nicht erst abgeschlossen wurden. Gemeint sind<br />
aber auch die vielfachen, sich ständig intensivierenden Bemühungen,<br />
die pränatale Diagnostik für eine auf ganz spezifische Eigenschaften<br />
bedachte Familienplanung zu verwenden, ebenso wie die mehr oder<br />
weniger offene Aufkündigung des "Paktes" der Molekularbiologen<br />
"zur Selbstbeschränkung", unter anderem <strong>im</strong> Zusammenhang mit den<br />
Auseinandersetzungen über die "met-machine" des Massachussets<br />
Institute of Technology, und die kaum verhüllten, besonders <strong>im</strong><br />
Rahmen der "Soziogenetik" verfochtenen Projekte, Interventionen in<br />
die genetischen Daten als gesellschaftliches Korrektiv zu nutzen.<br />
Alles in allem, mit der Verarbeitung genetischer Daten erhöht sich<br />
die Verletzlichkeit des einzelnen, aber auch der Gesellschaft noch<br />
einmal beträchtlich. Soziale Exklusion und Manipulierbarkeit nehmen<br />
deutlicher denn je reale Züge an.<br />
4. Kapitalisierung und Kommerzialisierung<br />
Proliferation und Routinisierung wirken sich auch auf die Einschätzung<br />
personenbezogener Daten aus. Waren sie ursprünglich, in der<br />
Regel jedenfalls, nur Mittel, um <strong>im</strong> Einklang mit den <strong>Datenschutz</strong>gesetzen,<br />
best<strong>im</strong>mte, konkret anzugebende Zwecke zu erreichen, so<br />
verwandeln sie sich in dem Maße, in dem die Datenbestände wachsen,<br />
in ein sich fortschreitend verselbständigendes Informationskapital.<br />
Unternehmen und Behörden werden sich mehr und mehr der<br />
Tatsache bewußt, daß die Daten für sie eine wichtige neue Einkommensquelle<br />
darstellen. Die Verarbeitung ist deshalb zunehmend von<br />
den Bemühungen geprägt, den Mehrwert der Daten zu kapitalisieren.<br />
So hat die EG-Kommission bereits Mitte der siebziger Jahre eine in<br />
den Vereinigten Staaten weit verbreitete Praxis aufgegriffen und<br />
begonnen, Vorschläge für gemeinschaftsweite Regeln zur Verwertung<br />
der von der öffentlichen Verwaltung gespeicherten Daten auszuarbeiten.<br />
Die Debatte ist, wie das 1999 verabschiedete Grünbuch<br />
zeigt, keineswegs versandet.<br />
14
Am Grundsatz, daß der Erhebungsspielraum der öffentlichen Stellen<br />
beschränkt ist, ändert dies zwar nichts. Öffentliche Stellen müssen<br />
sich sowohl innerhalb der Europäischen Union als auch in den Vereinigten<br />
Staaten nach ihren je spezifischen Aufgaben richten und<br />
dürfen folglich nur die dafür jeweils erforderlichen Angaben erheben.<br />
In dem Augenblick aber, in dem die Daten in den Bereich der<br />
öffentlichen Stellen gelangen, werden auch Voraussetzungen und<br />
Grenzen der Dispositionsbefugnis neu best<strong>im</strong>mt. Den öffentlichen<br />
Stellen wächst nach den bisher bestehenden oder vorgeschlagenen<br />
Regelungen das Recht zu, zumindest einen Teil der Angaben zu<br />
verwerten. Die Begründungen variieren. Sie reichen von einer wie<br />
<strong>im</strong>mer definierten "Trivialität" der Daten bis zu einem durch die<br />
Erhebung ausgelösten "Eigentumsübergang". Das Ergebnis bleibt<br />
gleich: Die öffentlichen Stellen können mit dem Verkauf beginnen,<br />
die Betroffenen müssen sich damit abfinden.<br />
Die Unternehmen haben ähnlich reagiert. Veräußerung und Leasing<br />
von Kundendaten sind weltweit die klassischen Beispiele einer direkten<br />
Verwertung. Die Vermarktung verläuft jedoch nicht <strong>im</strong>mer<br />
reibungslos, allein schon <strong>im</strong> Hinblick auf die in den <strong>Datenschutz</strong>gesetzen,<br />
allerdings unterschiedlich scharf formulierte Zweckbindung<br />
der Verarbeitung. Die Generalklauseln des § 28 BDSG bieten aber<br />
genügend Schlupflöcher, um es doch noch zu versuchen. Selbst dort<br />
freilich, wo es, wie in den Vereinigten Staaten, an gesetzlichen Vorschriften<br />
zur Verarbeitung personenbezogener Daten weitgehend<br />
fehlt, regt sich, vor allem unter dem Eindruck der Erfahrungen mit<br />
Chipkarten und Internet, der Widerstand. So zwangen die öffentlichen<br />
Proteste gegen die Vermarktungsabsichten von American Express<br />
und Geocities beide Unternehmen dazu, ihre Pläne aufzugeben.<br />
Noch schärfer fiel die Reaktion be<strong>im</strong> Verkauf von Kundendaten der<br />
U.S. Bank an Telemarketing Unternehmen aus. Der Justizminister<br />
des Staates Minnesota leitete ein Verfahren gegen die Bank ein. Er<br />
berief sich dabei nicht nur darauf, daß unter den veräußerten Daten<br />
so sensitive Angaben wie etwa der Kontostand, die Sozialversicherungsnummer<br />
und der Kreditrahmen waren, sondern auch auf den<br />
eklatanten Widerspruch zwischen den fortwährenden Beteuerungen<br />
der Bank, das Interesse der Kunden an einer vertraulichen Behandlung<br />
ihrer Daten zu respektieren, und dem Verkauf der Daten.<br />
15
Gleichviel jedoch, ob die Rücksicht auf bestehende gesetzliche Vorgaben<br />
oder der öffentliche Protest zur Zurückhaltung be<strong>im</strong> Verkauf<br />
zwingen, die Verwertungsabsichten werden keineswegs aufgegeben.<br />
Genaugenommen verschiebt sich nur der Akzent. So werden Patientendaten<br />
von Versicherungsgesellschaften oder von eigens mit der<br />
Verarbeitung von Rezeptdaten betrauten Unternehmen der pharmazeutischen<br />
Industrie überlassen. Der Vorteil für die Pharmaproduzenten<br />
ist leicht zu erkennen: Sie bekommen genau die Angaben, die<br />
sie für ein direktes, zudem eindeutig personalisiertes Gespräch mit<br />
Ärzten und Patienten brauchen. Die Gegenleistung variiert. Sie reicht<br />
von der Bereitschaft, die Werbung für einzelne, besonders kostspielige<br />
Präparate gezielt zurückzunehmen bis hin zu gemeinsam abgesprochenen<br />
Bemühungen, neue, die Kosten opt<strong>im</strong>ierende Produkte<br />
zu entwickeln. Das Begründungsspektrum ist einmal mehr weit gespannt.<br />
Von legit<strong>im</strong>en Eigenzwecken der Unternehmen ist ebenso<br />
die Rede wie von einer besseren Information der Patienten und ihrer<br />
finanziellen Entlastung oder auch von einem, etwa mit dem Versicherungsvertrag<br />
gleichsam zwangsläufig verknüpften Wechsel des<br />
"Eigentums" an den Daten.<br />
Die Schwelle zur Kommerzialisierung ist damit überschritten. Ihren<br />
Höhepunkt erreicht sie freilich erst, wenn die Betroffenen unmittelbar<br />
in den Vermarktungsprozeß eingebunden werden. Der Grund<br />
liegt mehr oder weniger auf der Hand. Sobald sich die Kommerzialisierung<br />
nicht auf allen möglichen interpretatorischen Umwegen an<br />
den Betroffenen vorbei vollzieht, sondern unter ihrer Beteiligung,<br />
sind der Vermarktung tendenziell keine Grenzen mehr gesetzt. Die<br />
"informationelle Selbstbest<strong>im</strong>mung" geht <strong>im</strong> "property right" der<br />
Betroffenen auf, das den Ausschlag für alle weiteren Überlegungen<br />
gibt. Regulative Interventionen des Gesetzgebers weichen den Anforderungen<br />
des Marktes. Reflektiert wird folglich nur noch über die<br />
Verwertungsmöglichkeiten. Sie garantieren die Interessen der Betroffenen<br />
ebenso wie die Effizienz der Verarbeitung.<br />
Die langwierigen Auseinandersetzungen zwischen John Moore<br />
einerseits sowie der Universität von Kalifornien, dem in Los Angeles<br />
angesiedelten Institut für Genetik und der Sandoz Pharmaceutical<br />
Corporation andererseits waren mit die ersten, in ihrer Bedeutung<br />
kaum zu unterschätzenden Vorzeichen dafür. John Moore litt an<br />
Leukämie und hatte deshalb <strong>im</strong> Oktober 1976 das Universitätsklini-<br />
16
kum aufgesucht. Die Ärzte waren sich sehr bald darüber einig, daß<br />
sie es mit einem wahren "medizinischen Schatzkästchen" zu tun hatten.<br />
John Moores Blut enthielt Substanzen, die, nach Meinung der<br />
behandelnden Ärzte, ihnen genauso wie der Universität sowohl unter<br />
"Wettbewerbs-" als auch unter "kommerziellen und wissenschaftlichen<br />
Aspekten" beträchtliche Vorteile verschaffen könnten. Vor<br />
allem Blut, Rückenmark und die operativ entfernte Galle wurden<br />
deshalb in Unkenntnis des Patienten über Jahre intensiv für Forschungszwecke<br />
genutzt. Das Ergebnis waren zahlreiche Patente, die<br />
den Beteiligten einen Millionengewinn einbrachten. Als John Moore<br />
zufällig davon erfuhr, dachte er gar nicht daran, die Verwendung<br />
seiner Daten zu verbieten. Er verlangte vielmehr eine angemessene<br />
Beteiligung am bisherigen und künftigen Gewinn. Die Gerichte taten<br />
sich bis hin zum Supreme Court schwer. Statt auf die von John<br />
Moore explizit geltend gemachten "Verwertungsrechte" einzugehen,<br />
zogen sie es vor, sich nahezu ausschließlich mit möglichen Schadenersatzansprüchen<br />
zu beschäftigen.<br />
Doch der Damm war gebrochen. Immer mehr "Data-Broker" schalten<br />
sich seither ein. Sie bieten den Betroffenen an, sie nicht nur vor<br />
unerwünschter Werbung zu bewahren, sondern auch einzelne Daten<br />
Interessenten gegen ein konkret zu vereinbarendes Entgelt zu überlassen.<br />
Die Betroffenen sollen damit die Chance erhalten, Angaben<br />
zu ihrer Person mit professioneller Unterstützung auf dem Informationsmarkt<br />
zu vertreiben, und zwar lediglich in dem jeweils gewünschten<br />
Umfang. Kaum jemand ist scheinbar bereit, sich dem zu<br />
entziehen. So verwundert es nicht, daß sich in Island Regierung und<br />
Parlament letztlich nur dazu bereit gefunden haben, die bereits erwähnten<br />
Verarbeitungspläne der "Decode Genetics" und deren Kooperation<br />
mit Hoffmann-La Roche zu billigen und gesetzlich abzusichern,<br />
nachdem Hoffmann-La Roche auf die besonders von der Regierung<br />
betonte "berechtigte Erwartung" der Betroffenen eingegangen<br />
ist, ihr Einverständnis nicht "umsonst" zu erteilen. Hoffmann-La<br />
Roche hat sich verpflichtet, die Einwilligung in die Verwertung ihrer<br />
Daten gleichsam in Naturalien, also mit firmeneigenen Medikamenten,<br />
zu honorieren.<br />
Der Versuch, die informationelle Selbstbest<strong>im</strong>mung in ein "property<br />
right" umzudeuten, spielt <strong>im</strong> übrigen auch bei der Auseinandersetzung<br />
zwischen der Europäischen Union und den Vereinigten Staaten<br />
17
über die Bedingungen der Übermittlung personenbezogener Daten<br />
eine wichtige Rolle. Einmal mehr wird die souveräne Verfügung der<br />
Betroffenen über ihr "property right" an den Daten in den Mittelpunkt<br />
gerückt. Verbindliche Anforderungen an den Datentransfer,<br />
wie sie in Art. 25 der EG-<strong>Datenschutz</strong>richtlinie enthalten sind, werden<br />
deshalb in den Vereinigten Staaten zumeist genauso kategorisch<br />
verworfen wie die Forderung nach einer unabhängigen Kontrolle der<br />
Verarbeitung. "Selbstregulierung", "opt-out" und eine mögliche<br />
Kompensation für die Betroffenen wegen des Zugriffs auf ihre Daten<br />
scheinen statt dessen die einzig akzeptablen Regelungsgrundsätze zu<br />
sein.<br />
Der <strong>Datenschutz</strong> wird so in die Hände der Beteiligten zurückverlegt.<br />
Die Betroffenen ebnen mit ihrem Verfügungsrecht den Weg für die<br />
Vermarktung ihrer Daten und können dafür einen "fairen Ausgleich"<br />
erwarten.<br />
Kurzum, Einverständnis und Entgelt sind die Eckwerte eines Konzepts,<br />
das bewußt nahezu jede Schranke einer möglichen Verwertung<br />
der Daten beseitigt. Erst recht wird aber deutlich, daß <strong>Datenschutz</strong>gesetze<br />
unter diesen Umständen nur noch den Sinn haben, eine reibungslose<br />
Vermarktung sicherzustellen. Der <strong>Datenschutz</strong> reiht sich<br />
so nahtlos in jene Regelungen ein, deren Existenz und Ziel an der<br />
Funktionsfähigkeit des Marktes ausgerichtet sind und deshalb allein<br />
durch diese legit<strong>im</strong>iert werden.<br />
II.<br />
Zerfall<br />
1. Entwertung der <strong>Instrumente</strong><br />
Äußerlich hat sich am Instrumentarium des <strong>Datenschutz</strong>es wenig<br />
geändert. Gewiß, mancher Regelungsansatz wurde verfeinert und<br />
weiterentwickelt. Doch die Grundelemente des <strong>Datenschutz</strong>es sind<br />
auch dreißig Jahre nach der ersten gesetzlichen Regelung <strong>im</strong>mer<br />
noch die gleichen. Kaum modifizierte phasenspezifische Verarbeitungsanforderungen<br />
werden nach wie vor durch altbekannte Rechte<br />
der Betroffenen und längst akzeptierte, durch die Aktivitäten eigens<br />
eingerichteter Instanzen geprägte und konkretisierte Kontrollstrukturen<br />
ergänzt. Die Kontinuität der <strong>Instrumente</strong> riskiert freilich, allzu<br />
18
leicht als Bestätigung ihrer Effizienz aufgefaßt zu werden. Das Gegenteil<br />
ist der Fall. Die Beständigkeit kaschiert nur die schwindende<br />
Wirksamkeit. Wie brüchig die herkömmlichen Mittel sind, hatte sich<br />
schon an der on-line-Verarbeitung gezeigt. Die mühselige Uminterpretation<br />
der Übermittlungsbest<strong>im</strong>mungen übertünchte ebenso wie<br />
die wachsende Zahl von Spezialvorschriften allenfalls temporär die<br />
Risse <strong>im</strong> tradierten Regelungssystem.<br />
Nicht anders ist es um die Kontrolle bestellt. Im Kontrollkonzept<br />
spiegelt sich die Annahme einer unausweichlichen Konzentration der<br />
Verarbeitung wider. Die <strong>Datenschutz</strong>beauftragten sind das Gegengewicht<br />
zu einem scheinbar genauso expansiven wie zentralistisch<br />
angelegten Verarbeitungsprozeß. Ihre Rechte wurden daher vor dem<br />
Hintergrund einer so verstandenen Verarbeitung konzipiert und können<br />
sich unter diesen Umständen dann am besten entfalten, wenn<br />
sich die Verarbeitungsvorgänge möglichst zentral abspielen und sich<br />
daher nicht nur relativ schnell ausmachen, sondern auch weitaus<br />
leichter kontrollieren lassen. Je mehr daher Dezentralisierung und<br />
Vernetzung die Verarbeitungsmodalitäten von Grund auf veränderten,<br />
desto deutlicher geriet die Kontrolle an die Grenze ihrer Möglichkeiten.<br />
Doch die zunächst mühsam verleugneten Kontrolldefizite<br />
sind, seit Internet den Verarbeitungsprozeß dominiert, kaum zu übersehen.<br />
Die Kontrollinstanzen mögen deshalb unverändert weiterbestehen<br />
und ihre Bedeutung, wie erst jüngst durch die EG-<br />
<strong>Datenschutz</strong>richtlinie, <strong>im</strong>mer wieder bestätigt werden. Ihre Aktivitäten<br />
drohen trotzdem sich zunehmend als späte Illustration einer<br />
mittlerweile obsoleten Etappe der Verarbeitung zu erweisen.<br />
Noch viel deutlicher fallen Erwartungen und Realität bei den individuellen<br />
Kontrollrechten auseinander. Die Diskrepanz zeichnete sich,<br />
genaugenommen, schon recht bald nach der Verabschiedung der<br />
ersten <strong>Datenschutz</strong>gesetze ab und verschärfte sich schnell. So läßt<br />
zwar kein <strong>Datenschutz</strong>gesetz das Auskunftsrecht aus. Im Gegenteil,<br />
ganz gleich, ob es um nationale, supranationale oder internationale<br />
Regelungen geht, das Auskunftsrecht wird überall in seltener Einmütigkeit<br />
zum harten, unverzichtbaren Kern des <strong>Datenschutz</strong>es gezählt.<br />
An Informationen über die faktische Bedeutung des Auskunftsrechts<br />
mangelt es dafür um so mehr. Nicht ohne Grund: Auskunft<br />
wird aller Erfahrung nach nur äußerst selten verlangt und<br />
wenn, fast ausschließlich <strong>im</strong> Gesundheits-, Sozial- und Sicherheits-<br />
19
ereich. Beides, das evidente Desinteresse und die auffällige Zuspitzung<br />
auf best<strong>im</strong>mte Verarbeitungen, spricht dafür, daß die Betroffenen<br />
solange nicht bereit sind, ihr Recht geltend zu machen, wie es an<br />
einem konkreten Anlaß fehlt oder es sich um einen aus ihrer Sicht<br />
besonders relevanten Verarbeitungsbereich handelt. Das Auskunftsrecht<br />
reicht also für sich genommen nicht aus. Soll es seiner Kontrollfunktion<br />
wirklich nachkommen, dann muß es um Vorkehrungen<br />
ergänzt werden, die gezielt die Aufmerksamkeit der Betroffenen auf<br />
die Verwendung ihrer Daten lenken.<br />
Genau diesen Zweck erfüllt die oft geforderte, aber zumeist sorgfältig<br />
gemiedene Benachrichtigung. Sie konfrontiert die Betroffenen<br />
unmittelbar mit der Verarbeitung und bietet ihnen so die Möglichkeit,<br />
sich in Kenntnis der verarbeitenden Stelle, ihrer Aufgaben und<br />
der generell von ihr verwendeten Daten selbst darüber Gedanken zu<br />
machen, ob es sich lohnt, sich näher zu informieren. Selbst dort aber,<br />
wo eine Benachrichtigungspflicht ausdrücklich statuiert wird,<br />
herrscht offensichtlich die Tendenz vor, sie, soweit es nur geht, einzuschränken,<br />
indem man etwa schon eine direkte Erhebung der Daten<br />
bei den Betroffenen als Alternative gelten läßt, ohne Rücksicht<br />
<strong>im</strong> übrigen auf die Dauer oder den Umfang der Verarbeitung, und<br />
ansonsten darauf bedacht ist, sie bei der erstbesten Gelegenheit wieder<br />
abzuschaffen. Nur, selbst eine konsequente Verknüpfung von<br />
Benachrichtigung und Auskunft hilft nicht mehr weiter. Der Technologiewandel<br />
wirkt sich auch auf die Information der Betroffenen<br />
aus. Wo die Anzahl der verarbeiteten Daten unentwegt zun<strong>im</strong>mt, die<br />
Registrierung von Spuren zur Routine wird, räumliche und zeitliche<br />
Verarbeitungsgrenzen schwinden, fällt es schwer, Mechanismen<br />
aufrechtzuerhalten, die verläßliche Information sichern und es den<br />
Betroffenen zugleich ermöglichen, Korrekturen rechtzeitig anzumahnen<br />
und wirksam durchzusetzen. Das einst so gefeierte Auskunftsrecht<br />
droht vollends zu verkümmern, wie überhaupt Mechanismen,<br />
die den Verarbeitungsumfang einschränken und den Zugriff<br />
kanalisieren und transparenter gestalten sollten, mehr und mehr abstumpfen.<br />
Kurzum, die scheinbar so festen Fundamente des <strong>Datenschutz</strong>es<br />
zerbröseln.<br />
20
2. Desintegration des <strong>Datenschutz</strong>es<br />
Den Anfang machten Regelungen, die bewußt unpräzise und allgemein<br />
ausfielen. So deutlich Anlaß und Ziel waren, so tastend unsicher<br />
gestalteten sich die Reaktionen des Gesetzgebers. Anders und<br />
genauer ausgedrückt: Der radikale Technologiewandel best<strong>im</strong>mte<br />
den Zeitpunkt der legislativen Intervention, die Sorge um die möglichen<br />
Auswirkungen der "Computerisierung" auf die Grundrechte<br />
und damit auf die Struktur von Staat und Gesellschaft die Tragweite<br />
des Eingriffs. Der zunächst so überschwenglich als Wegbereiter und<br />
Fundament einer vollendet rationalen Gesellschaft bejubelte Computer<br />
geriet plötzlich in ein ganz anderes Licht, als sich hinter dem<br />
einzigartigen Dokumentationsinstrument ein ebenso einmaliges<br />
Steuerungsmittel abzuzeichnen begann. Während die Ankündigung<br />
einer schier unbegrenzten Speicherung von Gesetzen, Entscheidungen,<br />
Verwaltungsakten oder Wirtschaftsdaten noch restloses Staunen<br />
erregte, schlug die Bewunderung in dem Augenblick in Beklemmung<br />
um, in dem mit demselben Aplomb die Absicht verkündet wurde,<br />
nun endlich alle an den unterschiedlichsten Orten befindlichen und<br />
von den verschiedensten Stellen gesammelten Daten der Bürgerinnen<br />
und Bürger zusammenführen zu können. Der Schatten des "numerierten"<br />
Bürgers legte sich mehr und mehr über den informierten<br />
Bürger.<br />
Die Reflexionsebene veränderte sich. Die administrativen Probleme,<br />
wie etwa die Auseinandersetzungen darüber, nach welchen Kriterien<br />
die Auswahl der Dokumente erfolgen müßte, oder ob man tatsächlich<br />
den vollen Text aufnehmen sollte, statt sich mit Schlagworten zu<br />
begnügen, wichen einer dezidiert prinzipiellen Fragestellung. Verfassungsrechtliche<br />
und verfassungspolitische Aspekte rückten in den<br />
Vordergrund. Die Diskussion stand fortan unter dem Vorzeichen<br />
jener singulären Konstellation von Technologie und Grundrechten,<br />
die den <strong>Datenschutz</strong> begründet und seither begleitet und geprägt hat.<br />
Der lange und mühselige Weg von den Debatten des Hessischen<br />
Landtags über das <strong>Datenschutz</strong>gesetz von 1970, über die Verklammerung<br />
von "Informatik und Freiheitsrechten" in der Begründung<br />
und <strong>im</strong> Titel des französischen Gesetzes von 1976, die Entscheidung<br />
21
des Bundesverfassungsgerichts vom Dezember 1983 zum Volkszählungsgesetz<br />
bis hin zum einleitenden Artikel der EG-<strong>Datenschutz</strong>richtlinie<br />
von 1995 ist eine einzige Bestätigung der permanenten<br />
Präsenz dieser Konstellation und ihrer nachhaltigen Wirkung.<br />
Der Gesetzgeber hatte, so gesehen, keine Wahl. Sein Eingriff ließ<br />
sich weder vermeiden noch vertagen. Die "Computerisierung" war<br />
kein diffuses, zeitlich höchst unbest<strong>im</strong>mtes Vorhaben. Die Pläne für<br />
die "Datenzentralen" waren längst konkretisiert, die erforderlichen<br />
gesetzlichen Vorschriften den Parlamenten, jedenfalls teilweise, bereits<br />
zugeleitet. Doch so seltsam es sich anhören mag: Die Technologie<br />
forderte nicht nur den Eingriff heraus, sie schränkte zugleich die<br />
Interventionsmöglichkeiten ein. <strong>Datenschutz</strong>gesetze sind ihrer ganzen<br />
Intention und Struktur nach nicht repressive, vielmehr eindeutig<br />
präventive Regelungen. Sie sollen die Technologie in grundrechtskonforme<br />
Bahnen lenken und nicht etwa nur Grundrechtsverletzungen<br />
korrigieren. Wie unverzichtbar Vorschriften sind, die gezielt auf<br />
die Technologiefolgen Einfluß zu nehmen suchen, sollte sich nur<br />
wenig später be<strong>im</strong> ersten französischen Großprojekt einer breit angelegten<br />
automatisierten Verarbeitung personenbezogener Daten<br />
zeigen. Schon dessen Name war, wenn auch ungewollt, prophetisch.<br />
"SAFARI" eröffnete in der Tat die Jagd auf die Daten. Gemeint waren<br />
<strong>im</strong> konkreten Fall Angaben zur sozialen und wirtschaftlichen<br />
Situation der Familien aller Neugeborenen, die in Kombination mit<br />
polizeilichen Daten dazu verhelfen sollten, Ansätze für "kr<strong>im</strong>inogene<br />
Karrieren" zu diagnostizieren und ihnen rechtzeitig mit sozialtherapeutischen<br />
Maßnahmen zu begegnen.<br />
Nur: Das Regelungsziel mag noch so klar gewesen sein, der Regelungsgegenstand<br />
war es, allem Anschein zuwider, nicht. Gewiß, von<br />
Computern und von der automatisierten Verarbeitung "persönlicher"<br />
Daten war viel die Rede. Doch an wirklich präzisen Aussagen fehlte<br />
es. Nicht von ungefähr. Verarbeitungsmodalitäten und Nutzungsmöglichkeiten<br />
begannen sich gerade erst abzuzeichnen. Die Folge<br />
war eine allen <strong>Datenschutz</strong>gesetzen der ersten Generation gemeinsame<br />
Regelungstechnik. Die mangelnde Detailkenntnis wurde durch<br />
das Zusammenspiel von Generalklauseln und organisatorischprozeduralen<br />
Vorschriften kompensiert. Dank der Generalklauseln<br />
standen die Chancen nicht schlecht, den Regelungsprozeß so anzugehen,<br />
daß möglichst viele bereits bestehende oder neu aufkommen-<br />
22
de Verarbeitungskonstellationen einbezogen werden konnten. Eine<br />
besondere Kontrollinstanz und eine oft um eine Genehmigungspflicht<br />
ergänzte Meldepflicht automatisierter Verarbeitungsverfahren<br />
garantierten zudem einen <strong>im</strong>mer besseren Einblick in Anlässe und<br />
Folgen der Verwendung personenbezogener Daten.<br />
Die Strategien der Kompensation vermochten freilich nicht mehr als<br />
die Geltung der ersten <strong>Datenschutz</strong>gesetze temporär sicherzustellen.<br />
Generalklauseln und noch so vollständige, mit welchen administrativen<br />
Kompetenzen auch <strong>im</strong>mer verbundene Register der Verarbeitungsaktivitäten<br />
sind kein Dauerersatz für mangelnde Präzision. Darüber<br />
können selbst kunstvolle Exkurse über die lange Tradition und<br />
die Unentbehrlichkeit von Generalklauseln nicht hinwegtäuschen.<br />
Gerade dort, wo, wie bei den <strong>Datenschutz</strong>gesetzen, die Grundrechte<br />
auf dem Spiel stehen und deren Wahrnehmung Existenz und Ziel der<br />
gesetzlichen Regelung best<strong>im</strong>mt, ist Genauigkeit unverzichtbar.<br />
Nicht umsonst hat das Bundesverfassungsgericht <strong>im</strong> Volkszählungsurteil<br />
"Normenklarheit" angemahnt. Sie ist die Gewähr dafür, daß die<br />
informationelle Selbstbest<strong>im</strong>mung nicht zum Appell degeneriert,<br />
sondern sich als reale, konsequent beachtete Vorgabe jeder Verarbeitung<br />
personenbezogener Daten erweist. In dem Maße daher, in<br />
dem die zunächst überaus abstrakte Reflexion über die Verarbeitung<br />
und ihre Folgen einer durchaus konkreten, nicht zuletzt durch die<br />
Erfahrungen der <strong>Datenschutz</strong>beauftragten und der Aufsichtsbehörden<br />
untermauerten sowie ständig weiter angereicherten Betrachtung<br />
wich, schwand die Legit<strong>im</strong>ation der für die frühen <strong>Datenschutz</strong>gesetze<br />
charakteristischen Regelungstechnik.<br />
Die Alternative zeichnete sich schon relativ bald nach der Verabschiedung<br />
des ersten Bundesdatenschutzgesetzes ab. Sie wurde zunächst<br />
von den <strong>Datenschutz</strong>beauftragten angesprochen und später<br />
vom Bundesverfassungsgericht <strong>im</strong> Volkszählungsurteil als zwingende<br />
Konsequenz der Normenklarheit apostrophiert: Normative Anforderungen,<br />
die gezielt auf genau definierte Verarbeitungsbereiche<br />
zugeschnitten sein müssen. Und in der Tat: Bereichsspezifische Regelungen<br />
markieren den Schritt aus der ersten in die zweite Generation<br />
der <strong>Datenschutz</strong>gesetze. Wohl kein anderes Beispiel ist so bezeichnend<br />
für deren Bedeutung wie die fortschreitende Präzisierung<br />
des Auskunftsrechts. Alle Gesetze der ersten Generation haben sich<br />
emphatisch dafür ausgesprochen. Alle haben es aber auch genauso<br />
23
dezidiert in Generalklauseln eingebettet, mit deren Hilfe die Bereitschaft,<br />
es allgemein anzuerkennen, ebenso allgemein wieder in Frage<br />
gestellt wurde. Die Folgen sind unschwer auszumachen. Das Regel-<br />
Ausnahme-Verhältnis droht gerade in besonders sensiblen Verarbeitungssektoren,<br />
wie etwa dem Sicherheitsbereich, auf den Kopf gestellt<br />
zu werden. Das Recht der Betroffenen zu erfahren, was mit<br />
ihren Daten geschieht, läuft also Gefahr, sich in eine Konzession zu<br />
verwandeln, die jederzeit unter Bedingungen widerrufen werden<br />
kann, die für die Betroffenen undurchschaubar sind. Erst die Revision<br />
der Polizeigesetze hat die Regelungsprämissen wieder zurechtgerückt.<br />
Ausnahmen gibt es zu Recht nach wie vor. Doch die Definitionsmacht<br />
wird nicht mehr, auf dem Umweg über Generalklauseln,<br />
ohne weiteres den Polizeibehörden zugestanden. Eigens eingefügte<br />
und in Kenntnis der spezifischen Anforderungen polizeilicher<br />
Arbeit entwickelte Vorschriften versuchen jedenfalls, die Ausnahmetatbestände<br />
einzugrenzen und präziser zu umschreiben. Sie sehen<br />
zudem ausdrücklich vor, daß die Verweigerungsgründe das Auskunftsrecht<br />
lediglich suspendieren, die Betroffenen also unverändert<br />
das Recht haben, eine Auskunft, allerdings zu einem späteren Zeitpunkt,<br />
zu bekommen. Schließlich: Die Betroffenen müssen sich<br />
selbst dann, wenn eine Auskunft unterbleibt, nicht einfach damit<br />
abfinden. Sie können die <strong>Datenschutz</strong>beauftragten einschalten und<br />
sie bitten, zu überprüfen, ob ihnen die Informationen über den Umgang<br />
mit ihren Daten zu Recht vorenthalten worden sind.<br />
Genauso ist es übrigens bei den Sozialdaten. Wiederum gibt der Verarbeitungskontext<br />
den Maßstab für die Verarbeitungsvoraussetzungen<br />
ab. Erneut modifiziert und präzisiert deshalb der Gesetzgeber die<br />
allgemeinen Regeln und knüpft etwa die Übermittlung an entschieden<br />
enger formulierte Bedingungen. Ganz in diesem Sinn haben, um<br />
ein letztes Beispiel zu nennen, die Landesgesetzgeber ihre <strong>Datenschutz</strong>gesetze<br />
nach und nach um eindeutig bereichsspezifische Teile<br />
ergänzt, die unter anderem Sondervorschriften für die Verarbeitung<br />
von Arbeitnehmerdaten enthalten.<br />
Die Präzisierung kann allerdings leicht in Desintegration umschlagen.<br />
Anders und genauer ausgedrückt: Der Übergang von generellen<br />
auf bereichsspezifische Vorschriften macht nur solange einen Sinn,<br />
wie diese Teil eines einheitlichen, konsistent aufgebauten Regelungssystems<br />
bleiben, sich also darauf beschränken, gemeinsamen<br />
24
Grundsätzen eine besondere, am jeweiligen Verarbeitungskontext<br />
orientierte Ausprägung zu verleihen. Bereichsspezifische Regelungen<br />
sind, so gesehen, nicht dazu best<strong>im</strong>mt, die allgemeinen <strong>Datenschutz</strong>gesetze<br />
zu substituieren. Ihre Aufgabe besteht <strong>im</strong> Gegenteil<br />
darin, bereits formulierte Vorgaben aufzugreifen und zu verdeutlichen<br />
und damit Geltung und Effizienz des <strong>Datenschutz</strong>es zu max<strong>im</strong>ieren.<br />
Allein deshalb ist es mit s<strong>im</strong>plen, wenngleich kontextkonformen<br />
Wiedergaben bereits vorhandener Regeln nicht getan. Der<br />
Rückgriff auf einen besonderen Verarbeitungsbereich führt vielmehr<br />
dazu, sich auch und gerade mit neuen, bislang nicht bedachten Verarbeitungsaspekten<br />
auseinanderzusetzen. Jede bereichsspezifische<br />
Anpassung schreibt deshalb tendenziell die Anforderungen des <strong>Datenschutz</strong>es<br />
fort. Eine konsequente Integration bereichsspezifischer<br />
Vorschriften ist folglich kein einseitiger, ausschließlich auf die bereichsspezifischen<br />
Regelungen bezogener, sondern ein wechselseitiger,<br />
sich auf deren Leitprinzipien genauso auswirkender Vorgang.<br />
Der <strong>Datenschutz</strong> kann mit anderen Worten seine Ziele nur erreichen,<br />
wenn er als ein reflexives Regelungssystem verstanden wird, in dem<br />
bereichsspezifische Präzisierung und Revision der Ausgangsgrundsätze<br />
einander fortwährend ergänzen.<br />
Doch statt einer sorgfältigen Abst<strong>im</strong>mung beherrscht offene Auflösung<br />
das Feld. Schon die weit verbreitete, etwa durch die Krankenhausgesetze<br />
exemplifizierte Restriktion bereichsspezifischer Regelungen<br />
auf eine schlichte Wiederholung der allgemeinen Bundesund<br />
Landesvorschriften st<strong>im</strong>mt bedenklich. Wirklich gefährlich ist<br />
allerdings erst der manifeste Zerfall des <strong>Datenschutz</strong>es. Längst wird<br />
auf eine Verknüpfung der verschiedenen Regelungen nicht mehr<br />
geachtet. Was bleibt, sind gelegentliche Verweisungen, die allerdings<br />
noch keineswegs eine in sich geschlossene, widerspruchsfreie Anwendung<br />
sichern. Die Unst<strong>im</strong>migkeiten und die Unübersichtlichkeit<br />
nehmen vielmehr gleichermaßen zu. Je neuartiger zudem der Regelungsgegenstand<br />
ist, desto deutlicher zeichnen sich die Verselbständigungstendenzen<br />
ab.<br />
Mit das beste Beispiel dafür sind die Sondervorschriften zur Telekommunikation.<br />
Zentrale Grundsätze des <strong>Datenschutz</strong>es werden<br />
gleichsam neu entdeckt und dementsprechend zu genuinen Komponenten<br />
einer für den Informations- und Kommunikationsbereich<br />
typischen und deshalb ihm auch vorbehaltenen Regelung erklärt. So<br />
25
ist plötzlich nicht mehr von der informationellen, sondern nur noch<br />
von der kommunikativen Selbstbest<strong>im</strong>mung die Rede, obwohl es wie<br />
bisher um nichts anderes als um die Kommunikationsfähigkeit der<br />
einzelnen geht und damit um deren Recht, selbst darüber zu befinden,<br />
wer wann und unter welchen Bedingungen auf ihre Daten<br />
zugreifen darf. Und so wird die "Datenvermeidung" als Grundstein<br />
eines anderen, wirklich modernen <strong>Datenschutz</strong>es präsentiert, obgleich<br />
die Min<strong>im</strong>ierung der Verarbeitung personenbezogener Angaben<br />
von Anfang an Kernstück aller Regelungsbestrebungen war.<br />
Mehr noch: Selbst dann, wenn, wie bei der Revision etwa der <strong>Datenschutz</strong>gesetze,<br />
die Vorschriften aus dem Telekommunikationsbereich<br />
mit in die Reflexion über mögliche Änderungen einbezogen werden,<br />
kommt es lediglich zu einer weitgehend wörtlichen Übernahme der<br />
Best<strong>im</strong>mung über die "Datenvermeidung". Die Frage, ob es sich<br />
nicht um einen <strong>im</strong>mer schon akzeptierten allgemeinen Grundsatz<br />
handelt, der daher keineswegs in seiner sektoralen Form aufgenommen<br />
werden kann, wird gar nicht erst gestellt. Die Revision gerät so<br />
zur Illustration der Zersplitterung des <strong>Datenschutz</strong>es. Das <strong>Datenschutz</strong>gesetz<br />
gibt nicht mehr die Grundlage für alle weiteren Regelungen<br />
ab. Es reduziert sich auf eine Zusammenstellung unterschiedlicher,<br />
weder auf ihre Tragweite noch auf ihre Konsistenz wirklich<br />
geprüfter Elemente. Besser läßt sich das geschwundene Bewußtsein<br />
für die Einheit des <strong>Datenschutz</strong>es kaum veranschaulichen.<br />
3. Das Ende der rein normativen Konzepte<br />
Die beiden ersten Generationen der <strong>Datenschutz</strong>gesetze haben eines<br />
gemeinsam: Sie beruhen auf der Vorstellung, daß normativ abgesicherte<br />
Verhaltensvorgaben ebenso notwendig wie ausreichend sind.<br />
Ganz in diesem Sinn stellen alle Gesetze Regeln auf, die in gleichsam<br />
klassischer Manier die Rechtmäßigkeitsvoraussetzungen der<br />
Verarbeitung genauso definieren wie etwa die Rechte der Betroffenen<br />
oder die Kontrollbedingungen. Dahinter steht die schon für die<br />
frühen Debatten über einen legislativen Eingriff charakteristische<br />
Kontrastierung von <strong>Datenschutz</strong> und Datensicherung. Die Forderung<br />
nach <strong>Datenschutz</strong> wurde mit anderen Worten als klare Absage an die<br />
vor allem von den Computerherstellern vertretene Annahme verstanden,<br />
technische Vorkehrungen reichten völlig aus, um die Verarbeitung<br />
personenbezogener Daten in einer die Interessen der Betroffe-<br />
26
nen berücksichtigenden und ihnen gerecht werdenden Art und Weise<br />
einzugrenzen. Keine noch so ausgefeilte technische Vorkehrung<br />
kann in der Tat best<strong>im</strong>men, welche Daten überhaupt erhoben oder<br />
übermittelt werden dürfen. Ziel und Einsatz der technischen Vorkehrungen<br />
sind vielmehr normativ prädeterminiert. Nicht von ungefähr<br />
listen deshalb das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze<br />
technisch-organisatorische Maßnahmen lediglich in<br />
einem Anhang auf und geben sich <strong>im</strong> übrigen mit einer Generalklausel<br />
zufrieden, die es letztlich offen läßt, wie die Vorkehrungen auszusehen<br />
haben. Deutlicher hätte deren ausgeprägt akzessorische<br />
Funktion kaum zum Ausdruck gebracht werden können.<br />
So einsichtig, ja berechtigt es zunächst erschien, sich für einen entschieden<br />
normativen Ansatz auszusprechen, so wenig hilft eine so<br />
konzipierte Regelung bei einer konsequent dezentralisierten, an keine<br />
räumliche oder zeitliche Grenzen gebundenen Verarbeitung weiter.<br />
On-line, Chipkarten und Internet sind Stationen eines Weges, auf<br />
dem sich die Einflußmöglichkeiten normativer Konzepte zunehmend<br />
verflüchtigten. Wo Anonymität zur Fiktion gerät, Datensammlung<br />
zur Routine wird, Verarbeitungsvorgänge von beliebigen Stellen aus<br />
zu ebenso beliebigen Zeiten durchgeführt werden können und sich<br />
die Spuren der Betroffenen zwar <strong>im</strong>mer weiter verdichten, die Spuren<br />
des Zugriffs auf ihre Daten aber <strong>im</strong>mer mehr verlieren, lassen<br />
sich mit rein normativen Vorgaben bestenfalls Intentionen umschreiben.<br />
Ihre Realisierung ist dagegen fraglicher denn je.<br />
Solange, beispielsweise, personalisierte Zahlungsmodalitäten nach<br />
wie vor, auch und gerade <strong>im</strong> Internet, an Bedeutung gewinnen, Bewegungsprofile<br />
weiterhin zu den fast selbstverständlichen Nebenprodukten<br />
der veränderten Verarbeitungstechnologie zählen, Spuren<br />
nicht gezielt eingedämmt werden können und Nutzer außerstande<br />
sind, Inhalte und Sendeaktionen verläßlich zu steuern, schwindet die<br />
von den <strong>Datenschutz</strong>gesetzen nachdrücklich geforderte Transparenz<br />
und bleiben fundamentale Grundsätze wie die Verpflichtung, von<br />
einer Verwendung personenbezogener Daten möglichst abzusehen<br />
oder eine strikte Zweckbindung sicherzustellen, wirkungslos. Die<br />
Betroffenen mögen nominell noch über eine verfassungsrechtlich<br />
abgesicherte Entscheidungsprärogative verfügen, sie sind aber in<br />
Wirklichkeit längst Objekte eines vom Gesetzgeber nicht mehr kontrollierbaren<br />
Prozesses.<br />
27
Keines dieser Beispiele signalisiert allerdings Einzeldefizite bestehender<br />
Regelungen. Jedes von ihnen ist, <strong>im</strong> Gegenteil, symptomatisch<br />
für die strukturelle Insuffizienz exklusiv normativer Regelungskonzepte.<br />
Sie sind an der Grenze ihrer Möglichkeiten angelangt.<br />
Anders als seinerzeit be<strong>im</strong> Übergang von den allgemeinen zu<br />
den bereichsspezifischen Gesetzen kann es daher nicht mehr darum<br />
gehen, den Geltungsanspruch der normativen Konzepte neu zu begründen.<br />
Die Realität der Verarbeitung hat sie endgültig überholt.<br />
Sie sind deshalb nur noch mühsam konservierbare Relikte einer anderen<br />
Verarbeitungsepoche und nicht etwa reparierbare Regelungsmechanismen.<br />
III. Rekonstruktion<br />
1. Technisierung des <strong>Datenschutz</strong>es<br />
Die Chance des <strong>Datenschutz</strong>es liegt, so paradox es klingen mag, in<br />
der Verarbeitungstechnologie. Sie war es, die ihn destabilisierte, sie<br />
ist es aber auch, die ihm die Möglichkeit bietet, seinen Geltungsanspruch<br />
wieder durchzusetzen. Sicher, der <strong>Datenschutz</strong> wird durchaus<br />
zu Recht als eine gezielte Restriktion der Verarbeitung personenbezogener<br />
Angaben und damit zwangsläufig als Technologiebarriere<br />
wahrgenommen. Doch die Erfahrung hat schon relativ früh gezeigt,<br />
daß sein Gegenstand genauso gut sein Instrument sein kann. Gemeint<br />
sind etwa die ersten Versuche, Telefonkarten einzuführen. Keiner der<br />
<strong>im</strong>mer wieder vorgebrachten Einwände war, genaugenommen,<br />
schlüssig. Was an den vorausbezahlten Wertkarten wirklich störte,<br />
waren nicht die vielzitierten organisatorischen, technischen und finanziellen<br />
Schwierigkeiten, sondern die berechtigte Befürchtung,<br />
daß ihre Einführung eine neue und zudem höchst profitable Informationsquelle<br />
verschütten würde. In einer Zeit, in der sich Kreditkarten<br />
anschickten, das Bargeld mehr und mehr zu verdrängen, erschienen<br />
ganz nach dem Muster der Kreditkarten konzipierte Zahlungsmodalitäten<br />
für Telefongespräche als die ideale Ergänzung, sei es der ohnehin<br />
systematisch ausgewerteten Daten aus den Telefonbüchern, sei<br />
es der ansonsten über die Kreditkarten erhobenen Angaben. Kein<br />
Wunder, daß die potentiellen Nutznießer nur Nachteile aufzuzählen<br />
wußten, die <strong>Datenschutz</strong>beauftragten aber dafür die Vorteile der<br />
28
Telefonkarten entdeckten. Sie stellen eine verlorengegangene<br />
Anonymität wieder her und dämmen die scheinbar unaufhörliche<br />
Ausweitung der Verarbeitung personenbezogener Daten wenigstens<br />
in einem unstreitig besonders empfindlichen Sektor ein.<br />
Eine zweite, ganz andere Erfahrung brachte die Technologie ebenfalls,<br />
allerdings auf Umwegen, ins Spiel. Die heftigen Diskussionen<br />
über den Einfluß des Fernsehens auf das Verhalten von Jugendlichen<br />
lösten in den Vereinigten Staaten die Forderung nach technischen<br />
Hilfsmitteln aus, die es den Eltern erlauben würden, den Zugang zu<br />
einzelnen Sendungen oder Kanälen zu sperren. Nichts lag unter diesen<br />
Umständen näher als auch <strong>im</strong> Internet ähnlich zu verfahren.<br />
Wiederum ging es um technische <strong>Instrumente</strong>, die Unzugänglichkeit<br />
garantieren sollten und erneut war die Technologie Ansatzpunkt von<br />
Bestrebungen, den Betroffenen die Entscheidungsmacht über die<br />
Preisgabe ihrer Anonymität wiederzugeben.<br />
Das Fundament für eine eigens auf den <strong>Datenschutz</strong> zugeschnittene<br />
Technologie war damit gelegt. Die Beispiele häuften sich. Ganz<br />
gleich, ob man die <strong>im</strong>mer weiter verfeinerten Spezialfilter, das breite<br />
Angebot von "Pretty-Good-Privacy", den "Identity-Protector" oder<br />
die "MixMaster-Remailer" n<strong>im</strong>mt, eines bestätigt sich: Der <strong>Datenschutz</strong><br />
ist, soll er wirklich auf die Verarbeitung einwirken, auf die<br />
Technologie angewiesen. "Privacy-enhancing technology" ist deshalb<br />
mittlerweile zum Schlagwort für ein neues, die Technologie<br />
gezielt instrumentalisierendes Verständnis des <strong>Datenschutz</strong>es geworden.<br />
Der Wandel wird freilich eher verhüllt als verdeutlicht, wenn<br />
von "datenschutzfreundlichen" Technologien die Rede ist. Allzu<br />
leicht entsteht der Eindruck als ginge es lediglich um eine generelle<br />
Kategorisierung. Akzeptable, ja wünschenswerte, "freundliche"<br />
Technologien sollen eben von inakzeptablen "feindlichen" unterschieden<br />
werden. In Wirklichkeit steht entschieden mehr zur Debatte:<br />
Eine gesetzlich abgestützte, aktive Technologiepolitik. "Freundlich"<br />
beschreibt, so gesehen, die Erwartungen nur unzureichend.<br />
Notwendig sind vielmehr Technologien, die den <strong>Datenschutz</strong> ebenso<br />
gezielt fördern wie garantieren. Die Technologie muß, mit anderen<br />
Worten, aus der Peripherie in den Mittelpunkt der legislativen Intervention<br />
rücken.<br />
29
Damit bahnt sich zugleich der Übergang zu einer neuen, dritten Generation<br />
von <strong>Datenschutz</strong>gesetzen an. Deren hervorstechendes,<br />
ureigenstes Merkmal sind Regelungsmechanismen, die bewußt auf<br />
die Technologie setzen und sie konsequent einbeziehen. Wohlgemerkt,<br />
der Gesetzgeber schreibt nicht näher spezifizierte und womöglich<br />
in allen Einzelheiten definierte Vorkehrungen, sondern nur<br />
Vorgaben fest. Wie die jeweiligen Vorkehrungen konkret auszusehen<br />
haben, ist infolgedessen ausschließlich Sache der Industrie. Um so<br />
deutlicher konzentriert sich die Aufmerksamkeit auf das Ergebnis: Es<br />
ist nur solange hinnehmbar, wie es den Maßstäben voll genügt, die<br />
der Gesetzgeber formuliert hat. Der <strong>Datenschutz</strong> geht so den Weg,<br />
den vor allem das Umweltrecht längst eingeschlagen hat. Genau wie<br />
dort wird das Regelungsziel gleich doppelt abgesichert. Zwingende<br />
rechtliche Anforderungen werden in genauso verbindliche technische<br />
Erwartungen umgesetzt. Wie be<strong>im</strong> Umweltschutz dürfen zudem die<br />
je spezifischen Vorkehrungen nicht Teil einer unverbindlich angebotenen<br />
Sonderausstattung sein. Die Marktfähigkeit des Informations-<br />
und Kommunikationsinstrumentariums muß vielmehr von der<br />
Existenz solcher Vorkehrungen abhängen.<br />
Kurzum, der Aufbau einer gesetzlich initiierten und <strong>im</strong>plementierten<br />
datenschutzgerechten Technologie ist Grund- und Prüfstein aller<br />
Bemühungen, den <strong>Datenschutz</strong> aus der gegenwärtigen Sackgasse<br />
herauszuführen. Er wird, dank der Technisierung seiner Regelungsansprüche,<br />
in den Verarbeitungsprozeß hineinverlegt. Die Verarbeitungsgrenzen<br />
werden folglich nicht mehr durch externe und deshalb<br />
sehr viel leichter umgehbare Barrieren best<strong>im</strong>mt, sondern durch<br />
technik<strong>im</strong>manente Schranken, die den gesamten Ablauf des Verarbeitungsprozesses<br />
steuern. Soll aber dieses Ziel wirklich erreicht<br />
werden, dann bedarf es einer datenschutzgerechten Technologie, die<br />
sich auch und vor allem durch ein Höchstmaß an Flexibilität auszeichnen<br />
muß. Noch so überzeugende Reaktionen auf den jeweiligen<br />
Stand der Informations- und Kommunikationstechnologie genügen<br />
daher nicht. Gesetzliche Vorgaben und konkrete technische Vorkehrungen<br />
können vielmehr ihrer Aufgabe nur gerecht werden, wenn sie<br />
das hohe Veränderungspotential der Verarbeitungstechnologie durch<br />
eine genauso ausgeprägte Adaptationsfähigkeit aufzufangen vermögen.<br />
Der Schlüssel dazu ist nicht anders als bei allen Überlegungen<br />
zur Effizienz des <strong>Datenschutz</strong>es eine permanente, konsequent betriebene<br />
Technikfolgenabschätzung. Sie liefert den letztlich entschei-<br />
30
denden Maßstab dafür, ob die gesetzlichen Vorgaben und deren<br />
technische Umsetzung nach wie vor ausreichen. Bewertung und Antizipation<br />
der Technikfolgen sind deshalb eine genauso unabdingbare<br />
Voraussetzung des <strong>Datenschutz</strong>es wie die gesetzliche Regelung<br />
selbst.<br />
2. Revision der rechtlichen Regelungselemente<br />
So wichtig, ja unentbehrlich die Technisierung des <strong>Datenschutz</strong>es ist,<br />
so wenig gilt es, darüber Klarheit und Konsistenz der rechtlichen<br />
Regelungselemente zu vernachlässigen. Mehr denn je kommt es,<br />
allein schon mit Rücksicht auf die Intensität der Verarbeitung und<br />
die wachsende Proliferation der Daten, darauf an, doch noch zu versuchen,<br />
jene Hoffnung auf Übersichtlichkeit und Präzision zu erfüllen,<br />
die nicht zuletzt an der bereichsspezifischen Zersplitterung des<br />
<strong>Datenschutz</strong>es zerschellt ist. Das Rezept scheint in Zeiten der Deregulierung<br />
denkbar einfach zu sein: Eine radikale Entrechtlichung des<br />
<strong>Datenschutz</strong>es verbunden mit einer konsequenten Konzentration der<br />
rechtlichen Anforderungen auf eine bewußt gering gehaltene Anzahl<br />
leicht auffindbarer und möglichst einfacher Best<strong>im</strong>mungen. Alles<br />
spricht, so gesehen, für eine Rehabilitierung der Generalklauseln.<br />
Ihr spätes Lob verkennt freilich dreierlei Zunächst: Bereichsspezifische<br />
Regelungen sind, um noch einmal daran zu erinnern, nicht zufällig<br />
entstanden oder gar Produkte einer willkürlichen "Überregulierung".<br />
Sie sollten vielmehr dem <strong>Datenschutz</strong> die Glaubwürdigkeit<br />
und Verläßlichkeit zurückgeben, die ihm die mangelnde Präzision<br />
der Generalklauseln genommen hatte. Wer deshalb so vehement für<br />
Generalklauseln plädiert, muß auch und gerade auf die Frage eingehen,<br />
wie es, anders als bisher, gelingen kann, Genauigkeit dort sicherzustellen,<br />
wo Ungenauigkeit system<strong>im</strong>manentes Element der<br />
angestrebten Regelung ist. Solange jedoch eine Antwort darauf fehlt,<br />
bleibt es dabei: Die Unübersichtlichkeit wird durch die Rückkehr zu<br />
den Generalklauseln nicht korrigiert, sondern nur unter einem anderen<br />
Vorzeichen fortgesetzt und zementiert.<br />
Im übrigen: Vagheit der Erwartungen und Undurchschaubarkeit der<br />
gesetzlichen Regelung lassen sich nicht mit einem Gewinn an Spielraum<br />
für die "Rechtsanwender" rechtfertigen. Soweit damit auch die<br />
31
verarbeitenden Stellen gemeint sein sollten, haben die bisherigen<br />
Erfahrungen nur zu gut gezeigt, welche Folgen für die Betroffenen<br />
ein nicht von Anfang an strikt begrenzter Interpretationsradius nach<br />
sich zieht. Sie werden mit dem Risiko einer Auslegung belastet, die<br />
den <strong>Datenschutz</strong> möglichst beschränkt, also jeden sich bietenden<br />
Ansatz nutzt, um die Verarbeitungschancen auszuweiten. Nicht zuletzt<br />
davor sollten die Betroffenen durch entschieden präzisere bereichsspezifische<br />
Vorschriften geschützt werden. Zu den "Rechtsanwendern"<br />
zählen allerdings auch die <strong>Datenschutz</strong>beauftragten und<br />
die für den nicht-öffentlichen Bereich zuständigen Aufsichtsbehörden.<br />
Weder deren Kontrollfunktion noch die explizit garantierte Unabhängigkeit<br />
der <strong>Datenschutz</strong>beauftragten legit<strong>im</strong>ieren jedoch einen<br />
Verzicht auf Exaktheit und Transparenz. Eine breite, bewußt unklar<br />
gehaltene Interpretationsmarge beschwört Divergenzen förmlich<br />
herauf, die einmal mehr zu Lasten der Betroffenen gehen. Daß es<br />
sich dabei um eine durchaus realistische Annahme handelt, zeigt sich<br />
an manchen, in den Tätigkeitsberichten der <strong>Datenschutz</strong>beauftragten<br />
angesprochenen und verschieden bewerteten Alltagsproblemen des<br />
<strong>Datenschutz</strong>es ebenso wie an prinzipiellen Auseinandersetzungen.<br />
Mit eines der wichtigsten Beispiele dafür ist die unterschiedliche<br />
Einschätzung des später, jedenfalls partiell, für verfassungswidrig<br />
erklärten Volkszählungsgesetzes von 1983. Genauso bezeichnend<br />
sind aber auch Entscheidungen wie jenes Urteil des Conseil d'État,<br />
das der französischen <strong>Datenschutz</strong>kommission vorwarf, das <strong>Datenschutz</strong>gesetz<br />
unnötig eng und für die Betroffenen viel zu nachteilig<br />
interpretiert zu haben.<br />
Schließlich: Die Normenklarheit bleibt auch unter den veränderten,<br />
pr<strong>im</strong>är durch das Internet best<strong>im</strong>mten Informations- und Kommunikationsbedingungen<br />
verbindliche Regelungsprämisse. Kompromisse,<br />
die früher noch möglich und vertretbar erschienen, scheiden freilich<br />
von vornherein aus. Wo die Verarbeitung zur Routine gerät, die Datenbestände<br />
fortwährend ausgeweitet und ergänzt werden, sich mehr<br />
oder weniger lückenlose Profile jederzeit anfertigen lassen und sich<br />
die Grenzen zwischen öffentlicher und nicht-öffentlicher Verarbeitung<br />
verwischen, geraten Generalklauseln zu Generalschlüsseln. Wer<br />
sich auf Generalklauseln berufen kann, hat es dank ihrer Unbest<strong>im</strong>mtheit<br />
in der Hand, sich einen tendenziell schrankenlosen Zugang<br />
zu einer sowohl dem Umfang als auch der Art nach unbeschränkten<br />
Anzahl von Daten zu verschaffen. Von einer auch und<br />
32
vor allem für die Betroffenen überschaubaren und kontrollierbaren<br />
Verarbeitung läßt sich unter diesen Umständen kaum noch ernsthaft<br />
sprechen. Im Gegenteil, deutlicher kann die Verletzung der Normenklarheit<br />
nicht mehr ausfallen.<br />
Be<strong>im</strong> Übergang zur dritten Gesetzesgeneration stellt sich also,<br />
wenngleich sehr viel schärfer, genau die Frage, die bei der Überleitung<br />
von der ersten auf die zweite ebenfalls <strong>im</strong> Mittelpunkt aller<br />
Überlegungen gestanden hatte. Anders als damals geht es freilich<br />
nicht mehr an, sich mit Generalklauseln abzufinden. Sie müssen<br />
vielmehr einer möglichst präzisen und abschließenden Umschreibung<br />
der Verarbeitungsgründe weichen. Im Grunde genommen keine<br />
völlig neue und allein schon deshalb nur schwer erfüllbare Erwartung.<br />
Ein Vorbild gibt es durchaus: Die strikte Abschottung der Protokolldaten.<br />
Sie ist gerade vor dem Hintergrund der <strong>im</strong> Sicherheitsbereich<br />
besonders verbreiteten Generalklauseln entstanden und soll<br />
die mit der Zweckbindung verknüpften inhaltlichen und zeitlichen<br />
Verarbeitungsschranken absichern. Einfach ist es trotzdem nicht.<br />
Jeder Verzicht auf Generalklauseln löst unweigerlich Zugriffsrestriktionen<br />
aus, die zumindest solange erträglich erscheinen, wie<br />
nicht feststeht, ob sich wirklich Daten finden lassen, die für die jeweils<br />
am Zugang interessierte Stelle von Bedeutung sein könnten.<br />
Genau diese Ungewißheit hat spätestens seit den Chipkarten und erst<br />
recht, seitdem sich der Kommunikationsschwerpunkt zunehmend auf<br />
das Internet verschiebt, wenn nicht ganz, so doch weitgehend aufgehört<br />
zu bestehen. Der Datenfundus enthält so gut wie jede Information.<br />
So gesehen spricht nahezu alles dafür, daß es durchaus gelingen<br />
dürfte, die jeweils benötigten Angaben aufzuspüren. In einer Gesellschaft,<br />
in der sich Informationsbarrieren <strong>im</strong>mer niedriger gestalten,<br />
gilt es deshalb, diese umgekehrt dort fortlaufend zu erhöhen, wo es<br />
um personenbezogene Daten geht. Je deutlicher somit Allwissenheit<br />
faktisch reale Züge ann<strong>im</strong>mt, desto stärker muß rechtlich Nichtwissen<br />
als Leitprinzip aller Verarbeitung gewährleistet, also selbst dann<br />
garantiert werden, wenn Wissen durchaus möglich wäre.<br />
3. Gegenkräfte<br />
An Möglichkeiten, die Effizienz des <strong>Datenschutz</strong>es zurückzugewinnen,<br />
fehlt es zwar nicht. Sie stehen aber durchweg unter dem mitt-<br />
33
lerweile klar erkennbaren Vorbehalt einer Kommerzialisierung der<br />
Verarbeitung, die sich mehr und mehr <strong>im</strong> Zeichen einer Akquisition<br />
der Daten bei den Betroffenen selbst vollzieht. Sie werden direkt<br />
angesprochen und sie sind es auch, die ihre Daten verkaufen. Der<br />
rechtliche Ansatz ist allem Anschein nach einwandfrei. Kein Gesetzgeber<br />
hat schließlich bei der Frage nach der Rechtfertigung der Verarbeitung<br />
gezögert, die Einwilligung auf eine Stufe mit gesetzlichen<br />
Verarbeitungsanforderungen zu stellen. Sämtliche Gesetze gehen<br />
zudem wie selbstverständlich davon aus, daß die Betroffenen frei<br />
entscheiden können, welche ihrer Daten wem überlassen werden<br />
dürfen. Einschränkungen gibt es nicht einmal bei besonders "sensitiven<br />
Daten". Die Verarbeitung muß sich zwar <strong>im</strong> Prinzip nach deutlich<br />
restriktiveren Vorschriften richten, Zweifel sind trotzdem ausgeschlossen.<br />
Die Einwilligung der Betroffenen reicht, wie sich etwa an<br />
der EG-<strong>Datenschutz</strong>richtlinie (Art. 8 Abs. 2 Buchst. a) zeigt, einmal<br />
mehr aus.<br />
Bedenken hat es trotzdem gegeben. Vor allem bei der Verarbeitung<br />
von Arbeitnehmerdaten zeigte sich sehr schnell, daß es kaum angeht,<br />
sich so vorbehaltlos auf die Einwilligung zu verlassen. Allein schon<br />
die längst von der Rechtsprechung festgeschriebenen Grenzen des<br />
Arbeitgeberfragerechts illustrieren die Notwendigkeit genauso klarer<br />
wie verbindlicher Einschränkungen. Genau diesem Ziel dient auch<br />
das <strong>im</strong> Betriebsverfassungsgesetz (§ 94 Abs. 1) vorgesehene Mitbest<strong>im</strong>mungsrecht<br />
der Arbeitnehmervertretungen bei Fragebögen. In<br />
ihren ausdrücklich auf die Verarbeitung von Arbeitnehmerdaten<br />
bezogenen Empfehlungen hat sich schließlich die Internationale Arbeitsorganisation<br />
ebenfalls für eine strikte Begrenzung ausgesprochen.<br />
Ähnlich ist übrigens die Diskussion bei den für Versicherungsverträge<br />
typischen <strong>Datenschutz</strong>klauseln verlaufen. Sie waren zunächst<br />
ganz auf die Informationserwartungen der Versicherungsgesellschaften<br />
abgestellt und durch die Einwilligung der Versicherungsnehmer<br />
abgedeckt. Doch die ursprüngliche Fassung scheiterte<br />
sehr bald am Widerstand der <strong>Datenschutz</strong>beauftragten und des Bundesaufsichtsamts<br />
für das Versicherungswesen. Der neue Text begrenzt<br />
den Verarbeitungsspielraum der Versicherungen verbindlich<br />
und ist mit beiden Kontrollinstanzen abgesprochen. Der Einwilligung<br />
kommt, so gesehen, nur noch eine rein formale Funktion zu. Sie<br />
wirkt sich also keineswegs auf Inhalt und Tragweite der Klausel aus,<br />
34
sondern manifestiert und bekräftigt lediglich die Bereitschaft der<br />
Versicherungsnehmer, eine ohnehin feststehende Regelung zu akzeptieren.<br />
Aber auch die <strong>Datenschutz</strong>gesetze sind, allem Anschein zum Trotz,<br />
nicht frei von Zweifeln. Die Landesdatenschutzgesetze und das Bundesdatenschutzgesetz<br />
betonen zwar den Vorrang der Einwilligung,<br />
knüpfen ihn allerdings an zwei Bedingungen. Einwilligungen müssen<br />
grundsätzlich schriftlich erteilt werden. Die Betroffenen dürfen überdies<br />
nicht auf ihre Kontrollrechte verzichten. Beides soll mögliche<br />
negative Folgen einer beliebigen Freigabe der eigenen Daten kompensieren.<br />
Die Schriftform verzögert den Entscheidungsprozeß, das<br />
Verzichtverbot sichert eine nachträgliche Überprüfung der Einwilligungsfolgen.<br />
Anders ausgedrückt: Die Einwilligung wird vordergründig<br />
nicht angetastet, in Wirklichkeit jedoch in ein Regelsystem<br />
eingefügt, das ihre Gefahren zumindest vermindern soll. Noch deutlicher<br />
reagiert die Richtlinie, wenngleich nur bei der Verarbeitung<br />
sensitiver Daten. Sie räumt den Mitgliedstaaten das Recht ein, die<br />
Einwilligung auszuschließen (Art. 8 Abs. 2 Buchst. a).<br />
Skepsis und Kritik sind allerdings, sieht man von den wenigen<br />
punktuellen Korrekturen einmal ab, folgenlos geblieben. Die Gleichstellung<br />
von Einwilligung und gesetzlicher Regelung hat alle Reformen<br />
der <strong>Datenschutz</strong>gesetze überstanden. Mehr noch, die Einwilligung<br />
ist als ideale Alternative zu den <strong>im</strong>mer komplizierteren und<br />
kaum noch überschaubaren gesetzlichen Best<strong>im</strong>mungen angepriesen<br />
worden. Je geringer freilich die Vorbehalte gegenüber der Einwilligung<br />
sind, desto leichter fällt es, die Entscheidungsbefugnis der Betroffenen<br />
zu nutzen, um den <strong>Datenschutz</strong> zu unterlaufen.<br />
So hat sich der Gesetzgeber bei der 1990 verabschiedeten Novellierung<br />
des Bundesdatenschutzgesetzes ausgerechnet auf die informationelle<br />
Selbstbest<strong>im</strong>mung berufen, um mit die wichtigste Voraussetzung<br />
eines wirklich wirksamen <strong>Datenschutz</strong>es auszuhebeln, eine<br />
konsequente, auf Prävention bedachte Kontrolle der Verarbeitung.<br />
Bei best<strong>im</strong>mten "besonders sensiblen Daten", also etwa bei Angaben,<br />
die dem Arztgehe<strong>im</strong>nis unterliegen oder in Personalakten enthalten<br />
sind, zwingt der Respekt vor der Entscheidungsprärogative der Betroffenen,<br />
nach Meinung des Gesetzgebers, dazu, sie darüber befinden<br />
zu lassen, ob der Bundesbeauftragte für den <strong>Datenschutz</strong> ihre<br />
35
Daten einsehen darf. Sicher, der Gesetzgeber gibt sich mit einem<br />
Widerspruchsrecht zufrieden (§ 24 Abs. 2 Satz 4), bleibt mithin auf<br />
halbem Wege stehen und beeilt sich zudem unter dem Eindruck der<br />
sich verschärfenden Kritik zu versichern, nichts habe ihm ferner<br />
gelegen als eine "Einwilligungslösung". Was aber auf den ersten<br />
Blick ganz nach einem Kompromiß aussieht, der das Entscheidungsrecht<br />
der Betroffenen wenigstens partiell aufrechtzuerhalten sucht,<br />
läßt in Wirklichkeit, genauso übrigens wie die Kontroverse über<br />
Bedeutung und Tragweite der Feststellung, die Betroffenen müßten<br />
selbstverständlich "Gelegenheit" haben, ihr Widerspruchsrecht auszuüben,<br />
das eigentliche Motiv des Gesetzgebers aufscheinen. Die<br />
gesetzliche Regelung spiegelt eben nicht den Wunsch wider, die<br />
Einwirkungschancen der Betroffenen zu garantieren. Deren Entscheidungsbefugnis<br />
wird, <strong>im</strong> Gegenteil, gezielt instrumentalisiert,<br />
um die auch und gerade vom Bundesverfassungsgericht <strong>im</strong> Volkszählungsurteil<br />
nachhaltig geforderte umfassende Kontrolle der Verarbeitung<br />
zu konterkarieren. Mit der Widerspruchsmöglichkeit wird<br />
ein Hindernis aufgebaut, das die Überwachung keineswegs bloß<br />
verzögert, sondern letztlich leerlaufen läßt. Eine Kontrolle, die nicht<br />
nur darauf ausgerichtet ist, Einzelverstößen gegen die Verarbeitungsanforderungen<br />
nachzugehen, vielmehr vor allem Verhaltensmuster<br />
und Verarbeitungstendenzen offenlegen soll, bleibt solange illusorisch<br />
wie sie in zentralen Verarbeitungsbereichen lediglich auf ein<br />
gleichsam willkürlich zerstückeltes Material zurückgreifen kann.<br />
Wohl in keinem anderen Fall wird freilich die informationelle<br />
Selbstbest<strong>im</strong>mung so nachhaltig instrumentalisiert wie bei der fortschreitenden<br />
Kommerzialisierung der Verarbeitung personenbezogener<br />
Daten. Wiederum scheint alles dafür zu sprechen, sich an die<br />
Betroffenen zu halten. Schließlich geht es um ihre Daten. Sie müßten<br />
daher, so meint man, auch darüber selbst entscheiden können, ob ihre<br />
Daten vermarktet werden sollen und erst recht berechtigt sein, sich<br />
über den Preis zu verständigen. So gesehen käme es in der Tat einer<br />
Mißachtung ihrer informationellen Selbstbest<strong>im</strong>mung gleich, sie<br />
davon abzuhalten oder es ihnen gar zu verbieten. Einmal mehr verbirgt<br />
sich jedoch hinter der vermeintlich so engagierten Verteidigung<br />
der informationellen Selbstbest<strong>im</strong>mung eine zielstrebige Demontage<br />
des <strong>Datenschutz</strong>es.<br />
36
Ein besseres Mittel als die Einwilligung, um die jeweils gewünschten<br />
Daten schnell und möglichst an allen <strong>Datenschutz</strong>hindernissen vorbei<br />
systematisch zu verwerten, gibt es nicht. Dank der Einwilligung<br />
erwirbt der Käufer mit den Daten auch das Recht, diese grundsätzlich<br />
für seine Zwecke, und zwar ganz nach seinen Vorstellungen zu<br />
verwenden. Letztlich kommt es deshalb nur darauf an, die Einwilligung<br />
so zu formulieren, daß Zweifel an der Fortgeltung gerade jener<br />
gesetzlichen Verarbeitungsbedingungen gar nicht erst auftauchen,<br />
die den Vermarktungsprozeß besonders erschweren. Nicht von ungefähr<br />
sind die Auseinandersetzungen über die Auswirkungen der EG-<br />
Richtlinie auf die Übermittlung personenbezogener Daten in die<br />
Vereinigten Staaten von den Bemühungen begleitet und geprägt<br />
worden, auf die Einwilligung und die Information der Betroffenen<br />
zurückzugreifen, um die Zweckbindung, so weit es nur geht, auszuschalten.<br />
Je deutlicher sich allerdings solche Bestrebungen durchsetzen,<br />
desto janusköpfiger erweist sich die informationelle Selbstbest<strong>im</strong>mung.<br />
Sie soll einerseits die Herrschaft der Betroffenen über ihre<br />
Daten sichern, schafft jedoch andererseits die Voraussetzungen, um<br />
ausgerechnet die Verarbeitungseinschränkungen zu überwinden, die<br />
um der informationellen Selbstbest<strong>im</strong>mung willen entwickelt und<br />
gesetzlich verankert worden sind.<br />
Die informationelle Selbstbest<strong>im</strong>mung ist freilich weit mehr als ein<br />
personalisiertes Entscheidungs- und Verfügungsrecht. Sie ist auch<br />
und gerade konstitutives Merkmal der Kommunikations- und Partizipationsfähigkeit<br />
des einzelnen, damit aber, um noch einmal an die<br />
Aussage des Bundesverfassungsgerichts <strong>im</strong> Volkszählungsurteil zu<br />
erinnern, "elementare Funktionsbedingung einer freiheitlichdemokratischen<br />
Gesellschaft". Erst die Verknüpfung beider Aspekte<br />
macht die Bedeutung der informationellen Selbstbest<strong>im</strong>mung aus<br />
und begründet zugleich die Notwendigkeit, die Verarbeitung personenbezogener<br />
Daten gesetzlich zu regeln. Anerkennung und Wahrnehmung<br />
der Entscheidungsprärogative der Betroffenen gehen deshalb<br />
keineswegs lediglich die Betroffenen etwas an, sondern wirken<br />
sich genauso auf die Struktur der Gesellschaft aus.<br />
Steuerbarkeit und Anpassungszwang gefährden allerdings die Kommunikations-<br />
und Partizipationsfähigkeit der Betroffenen keineswegs<br />
nur, solange sie nicht wissen, wer ihre Daten wofür nutzt, vielmehr<br />
ebenso dann, wenn die Daten mit Wissen und Billigung der Betrof-<br />
37
fenen vermarktet werden. Dort, wo die Einwilligung zum Vehikel<br />
der Kommerzialisierung wird, fördert und potenziert sie das Instrumentarium<br />
einer Verarbeitung, deren Anlaß und Ziel eine möglichst<br />
wirksame Einflußnahme auf das Verhalten der Betroffenen ist. Eine,<br />
gerade dank der Kommerzialisierung, sich ständig weiter verdichtende,<br />
eindeutig personalisierte, in Profile umgesetzte Information erlaubt<br />
es, die günstigsten Ansatzpunkte für eine Beeinflussung der<br />
Betroffenen auszumachen, deren Reaktionen, jedenfalls partiell,<br />
besser zu antizipieren und deren Verhalten prädefinierten, am Waren-<br />
und Dienstleistungsabsatz orientierten Erwartungen anzupassen.<br />
Keine der ansonsten <strong>im</strong>mer wieder beschworenen Gefahren fällt also<br />
deshalb weg, weil die Betroffenen sich mit der Verarbeitung einverstanden<br />
erklärt haben.<br />
Sicher, ein Gegenmittel drängt sich fast von selbst auf. Die Schranken<br />
der Monetarisierung der Daten und ihrer Kommerzialisierung<br />
hängen auch und vor allem von der Schärfe der Zweckbindung ab.<br />
Eine Vermarktung lohnt erst, wenn der Verarbeitungsspielraum weit<br />
genug ist, um eine hinreichend große Zahl an Interessenten anzusprechen.<br />
Je enger daher die Verwendungsgrenzen gezogen werden<br />
und je klarer die Verpflichtung ist, sie zu respektieren, desto nachhaltiger<br />
wird allen Kommerzialisierungsbestrebungen der Boden<br />
entzogen. Eine strikte Begrenzung reduziert die Verarbeitungsmöglichkeiten<br />
zwangsläufig auf den explizit formulierten, verbindlich<br />
umschriebenen Erhebungszweck und entwertet damit das potentielle<br />
Informationskapital. Genau diese Konsequenz hat die vielfachen<br />
Versuche ausgelöst, die Zweckbindung wenigstens aus dem nichtöffentlich<br />
Bereich herauszuhalten. Doch weder die wieder und wieder<br />
behauptete Unvereinbarkeit der Zweckbindung mit dem "Wesen"<br />
der Verarbeitungsaktivitäten nicht-öffentlicher Stellen, noch deren<br />
zuweilen kategorisch postulierte Verfassungswidrigkeit haben letztlich<br />
etwas genutzt.<br />
Spätestens seit der EG-<strong>Datenschutz</strong>richtlinie ist jede weitere Diskussion<br />
überflüssig. Sie reiht die Zweckbindung ausdrücklich in die<br />
Leitprinzipien jeder Verarbeitung personenbezogener Daten ein (Art.<br />
6 Abs. 1 Buchst. b) und ist zudem die erste umfassende Verarbeitungsregelung,<br />
die pr<strong>im</strong>är den nicht-öffentlichen Bereich anspricht.<br />
Wie groß der Widerstand gegen die Zweckbindung trotzdem noch<br />
ist, zeigt sich an den Vorschlägen zur Novellierung des Bundesda-<br />
38
tenschutzgesetzes. Die Zweckbindung wird zwar nicht mehr grundsätzlich<br />
verworfen, aber mit Hilfe einer Vielzahl von Einzelvorschriften<br />
heruntergespielt. Gemeinschaftskonform ist jedoch nur eine<br />
Regelung, die nicht darauf abzielt, die Zweckbindung zu entkräften,<br />
sondern diese, <strong>im</strong> Gegenteil, uneingeschränkt bestätigt.<br />
Die Zweckbindung kann freilich letztlich nur weiterhelfen, wenn sie<br />
nicht zur Disposition steht. Ob sie also eine wirklich taugliche<br />
Kommerzialisierungsbarriere ist, entscheidet sich am Stellenwert der<br />
Einwilligung. Solange das Einverständnis der Betroffenen ausreicht,<br />
um die gesetzlichen Verarbeitungsvorgaben, damit aber auch die<br />
Zweckbindung, jedenfalls weitgehend abzulösen, bleibt die Einwilligung<br />
ein ebenso naheliegendes wie einfaches Mittel, um den vom<br />
Gesetz versagten Verarbeitungsspielraum zurückzugewinnen. Deutlicher<br />
denn je zeigt sich daher, daß kein Weg mehr an einer Auseinandersetzung<br />
mit Bedeutung und Tragweite der Einwilligung vorbeiführt.<br />
Die Kommerzialisierung zwingt, so gesehen, eine längst<br />
fällige Debatte nachzuholen. Arbeitnehmer und Arbeitnehmerinnen<br />
sind, um noch einmal daran zu erinnern, genausowenig wie Bankoder<br />
Versandhauskunden nur deshalb plötzlich in der Lage, ihre Interessen<br />
geltend zu machen, weil nicht der Abschluß von Verträgen,<br />
sondern die Verwendung ihrer Daten auf dem Spiel steht.<br />
Die Erfahrungen <strong>im</strong> Versicherungsbereich oder bei der Verarbeitung<br />
von Arbeitnehmerdaten lassen sich allerdings nicht kurzerhand auf<br />
die Veräußerung der eigenen Daten übertragen. Zur Diskussion steht<br />
eben nicht, wie die Betroffenen am ehesten vor der Gefahr einer<br />
Übervorteilung geschützt, also ihre Chancen auf einen "angemessenen"<br />
Preis für ihre Daten gesichert werden können. Der Akzent liegt<br />
vielmehr ganz auf den Folgen der Vermarktung für die Funktionsfähigkeit<br />
der informationellen Selbstbest<strong>im</strong>mung. Noch genauer: Maßstab<br />
aller Überlegungen zur Zulässigkeit der Kommerzialisierung<br />
und die Rolle der Einwilligung müssen die strukturellen Konsequenzen<br />
einer durch die Einwilligung legit<strong>im</strong>ierten Veräußerung der<br />
eigenen Daten für eine Gesellschaft sein, die sich auf die Kommunikations-<br />
und Partizipationsfähigkeit auch und gerade der Betroffenen<br />
gründet.<br />
Die Zukunft der informationellen Selbstbest<strong>im</strong>mung und damit des<br />
<strong>Datenschutz</strong>es entscheiden sich mithin an der Bereitschaft, der<br />
39
Kommerzialisierung Grenzen zu setzen und sich zugleich von der<br />
Vorstellung einer tendenziell unbeschränkten Legit<strong>im</strong>ationswirkung<br />
der Einwilligung zu lösen. Eine Alternative zu einer strikten Zweckbindung,<br />
die mit einer ebenso strikten Einschränkung der Einwilligung<br />
in die Veräußerung der eigenen Daten verknüpft werden muß,<br />
gibt es infolgedessen nicht. Genauso steht allerdings der Preis für<br />
jede weitere Verzögerung oder Verwässerung der Revision der <strong>Datenschutz</strong>gesetze<br />
fest. Wo die Veräußerlichkeit der Daten widerspruchslos<br />
akzeptiert wird, endet auch der <strong>Datenschutz</strong>. Oder, um<br />
noch einmal auf Eco zurückzukommen: Wenn Reflexionen zur Verarbeitung<br />
personenbezogener Daten auf Überlegungen über ihre<br />
bestmögliche Vermarktung reduziert werden, ist es sinnlos, sich mit<br />
der informationellen Selbstbest<strong>im</strong>mung und dem <strong>Datenschutz</strong> weiter<br />
zu beschäftigen. Beide sind dann endgültig obsolet und beide nur<br />
noch Erinnerungsposten an eine abgeschlossene Epoche.<br />
40
<strong>Datenschutz</strong>-Audit<br />
Alexander Roßnagel<br />
1. Die Idee eines <strong>Datenschutz</strong>-Audits<br />
Das <strong>Datenschutz</strong>-Audit ist ein neues Instrument des <strong>Datenschutz</strong>es:<br />
Durch die abgesicherte Möglichkeit, mit seinen <strong>Datenschutz</strong>anstrengungen<br />
werben zu können, soll der Datenverarbeiter veranlaßt werden,<br />
freiwillig ein <strong>Datenschutz</strong>-Managementsystem zu errichten, das<br />
zu einer kontinuierlichen Verbesserung des <strong>Datenschutz</strong>es beiträgt.<br />
Das <strong>Datenschutz</strong>-Audit ist eine Antwort auf das gestiegene <strong>Datenschutz</strong>bewußtsein<br />
bei der Verarbeitung personenbezogener Daten bei<br />
Anwendern und Nutzern. <strong>Datenschutz</strong> ist ein entscheidender Akzeptanzfaktor<br />
für alle Formen des elektronischen Handels und der elektronischen<br />
Verwaltung. Nach einer repräsentativen Umfrage, die das<br />
Freizeit-Forschungsinstitut in Hamburg bei 3000 Personen über 14<br />
Jahren zum Thema Mult<strong>im</strong>edia und <strong>Datenschutz</strong> durchgeführt hat,<br />
würden gern 46% aller Befragten und 57% der Berufstätigen behördliche<br />
Teledienste in Anspruch nehmen. 1 Ein Drittel der Bevölkerung<br />
(33% der Befragten) würde gern online Informationen über<br />
Produkte und Dienstleistungen erhalten und eventuell auch kaufen<br />
und in Anspruch nehmen. Mehr Bürger sogar (37% der Befragten)<br />
würden auf diese Weise Reiseinformationen abrufen und Reisen organisieren.<br />
Allerdings sind 47% der Bevölkerung der Ansicht, es<br />
werde derzeit zu wenig für den <strong>Datenschutz</strong> getan. Diese Einschät-<br />
1<br />
Die folgenden Angaben stammen aus Opaschowski/Duncker, Der gläserne Konsument<br />
Mult<strong>im</strong>edia und <strong>Datenschutz</strong>, Hamburg 1998.<br />
41
zung n<strong>im</strong>mt mit steigender Schulbildung zu und wird unter den Personen<br />
mit Hochschulabschluß sogar von 60% vertreten. Für die Zukunft<br />
fordern sie - auch angesichts der neuen Möglichkeiten der<br />
Mult<strong>im</strong>ediatechnik - eine Verbesserung des <strong>Datenschutz</strong>es. Mit 55%<br />
von allen Befragten votiert die Mehrheit für einen Ausbau des <strong>Datenschutz</strong>es.<br />
Weitere 30% würden ihn zumindest auf dem Niveau<br />
von heute halten und lediglich jeder Zwölfte (8% der Befragten)<br />
meint, dem <strong>Datenschutz</strong> könnte gern weniger Bedeutung beigemessen<br />
werden. Aus diesen Ergebnissen ist zu schließen: "Wer mit den<br />
ihm anvertrauten Informationen nicht sorgsam umgehen kann, wird<br />
in der Informationsgesellschaft des 21. Jahrhunderts einen schweren<br />
Stand haben". Es wird vor allem eine Aufgabe der Anbieter von Telediensten<br />
sein, "alle wirksamen Schutzmaßnahmen für ihre Konsumenten<br />
zu treffen, um die Akzeptanz der neuen Medienwelt nicht<br />
durch eine wie auch <strong>im</strong>mer geartete Datenunsicherheit <strong>im</strong> Ke<strong>im</strong> zu<br />
ersticken". Und - so ist zu ergänzen - angesichts der großen Unkenntnis<br />
und Verunsicherung wird es auch darauf ankommen, die<br />
Anstrengungen für den <strong>Datenschutz</strong> zu vermitteln. Für beides - für<br />
die <strong>Datenschutz</strong>anstrengungen und deren Vermittlung - könnte das<br />
<strong>Datenschutz</strong>-Audit ein hilfreiches Instrument sein.<br />
2. Ziele eines <strong>Datenschutz</strong>-Audits<br />
Entsprechend seinem Vorbild, dem Umweltschutz-Audit, sollte das<br />
<strong>Datenschutz</strong>-Audit vier zentrale Ziele verfolgen, die vorab zum besseren<br />
Verständnis der nachfolgenden Erörterung von Einzelaspekten<br />
des <strong>Datenschutz</strong>-Audits genannt werden:<br />
2.1 Stärkung der Selbstverantwortung und St<strong>im</strong>ulierung von<br />
Wettbewerb<br />
Das <strong>Datenschutz</strong>-Audit sollte in erster Linie ein geeignetes Instrument<br />
sein, die Selbstverantwortung des Datenverarbeiters für den<br />
<strong>Datenschutz</strong> zu fordern und zu fördern. <strong>Datenschutz</strong> ist ein <strong>im</strong>mer<br />
wichtiger werdendes Qualitätsmerkmal für Anwendungen der Informations-<br />
und Kommunikationstechniken, das als Wettbewerbsvorteil<br />
verstanden wird. Das <strong>Datenschutz</strong>-Audit sollte daher in nachprüfbarer<br />
Weise ermöglichen, mit <strong>Datenschutz</strong> und Datensicherheit<br />
42
zu werben. Um ein hohes <strong>Datenschutz</strong>niveau kontinuierlich sicherzustellen,<br />
ist ein <strong>Datenschutz</strong>-Managementsystem einzurichten. Dessen<br />
wiederkehrende Überprüfung und Verbesserung wird durch<br />
rechtliche Verfahrensregeln abgesichert. Für den Datenverarbeiter ist<br />
entscheidend, daß das <strong>Datenschutz</strong>-Audit sich den Besonderheiten<br />
seines Betriebes anpaßt und ihm Möglichkeiten eröffnet, mit dem<br />
positiven Ergebnis der Überprüfung die Kommunikation mit der Öffentlichkeit<br />
zu suchen und mit ihm zu werben. Das <strong>Datenschutz</strong>-<br />
Audit soll die datenverarbeitenden Stellen belohnen, die bei der<br />
Konzeption ihres Angebots datenschutzrechtliche Belange berücksichtigen,<br />
und für alle anderen marktgerechte Anreize schaffen, dies<br />
ebenso zu tun. 2<br />
2.2 Verringerung des Vollzugsdefizits<br />
Nicht nur <strong>im</strong> Umweltschutzrecht, auch <strong>im</strong> <strong>Datenschutz</strong>recht besteht<br />
ein erhebliches Vollzugsdefizit. Die öffentlichen <strong>Datenschutz</strong>beauftragten<br />
und die Aufsichtsbehörden sind durch die weltweite Vernetzung<br />
und die ubiquitäre Verwendung von Informations- und Kommunikationstechniken<br />
überfordert. Hier könnte das <strong>Datenschutz</strong>-<br />
Audit zu einer Entlastung beitragen. Mit dem von ihm geschaffenen<br />
Anreiz zur Selbstkontrolle verringert das <strong>Datenschutz</strong>-Audit Defizite<br />
in der Einhaltung des geltenden <strong>Datenschutz</strong>rechts. Es etabliert neue<br />
Formen und Instanzen der <strong>Datenschutz</strong>kontrolle, indem es interne<br />
Kontrollverfahren vorsieht, externe private Gutachter einbezieht und<br />
der kritischen Öffentlichkeit Kontrollinformationen bietet und Bewertungsmöglichkeiten<br />
eröffnet. Maßstab der Prüfung dieser Kontrollinstanzen<br />
sind die für die Datenverarbeitung geltenden Anforderungen<br />
des <strong>Datenschutz</strong>rechts. Da das <strong>Datenschutz</strong>-Audit andere<br />
Voraussetzungen 3 und Folgen 4 aufweist als die behördliche <strong>Datenschutz</strong>kontrolle,<br />
vermag es diese sehr wohl zu ergänzen, nicht aber<br />
zu ersetzen.<br />
2<br />
3<br />
4<br />
Begründung zu § 17 des MDStV; ebenso Engel-Flechsig, DuD 1997, 15; Roßnagel,<br />
DuD 1997, 507.<br />
Z.B. die freiwillige Teilnahme versus die Durchsetzung von Kontrollen nach<br />
§§ 24, 38 Abs. 1 - 4 BDSG.<br />
Z.B. Nichtzertifizierung der <strong>Datenschutz</strong>erklärung versus Beanstandungen und<br />
Anordnungen nach §§ 25, 38 Abs. 5 BDSG.<br />
43
2.3 Kontinuierliche Verbesserung des <strong>Datenschutz</strong>es und der<br />
Datensicherung<br />
Be<strong>im</strong> Umweltschutz-Audit haben die teilnehmenden Unternehmen<br />
nicht nur die einschlägigen Vorschriften einzuhalten, sondern auch<br />
auf eine angemessene kontinuierliche Verbesserung des betrieblichen<br />
Umweltschutzes hinzuwirken, wie sie sich mit der wirtschaftlich<br />
vertretbaren Anwendung der besten verfügbaren Technik erreichen<br />
läßt. 5 Ebenso sollte das materielle Hauptziel des <strong>Datenschutz</strong>-Audits<br />
die kontinuierliche Verbesserung des <strong>Datenschutz</strong>es und der Datensicherung<br />
sein. 6 Bisher bestehen für die Datenverarbeiter keine Anreize,<br />
eigene Anstrengungen zur Verbesserung des <strong>Datenschutz</strong>es<br />
und der Datensicherung zu ergreifen. Das <strong>Datenschutz</strong>-Audit ermöglicht,<br />
solche Anstrengungen zu dokumentieren, zu prüfen und zu<br />
prämieren und schafft dadurch einen Marktanreiz, diese zu unternehmen.<br />
Es sollte sich daher nicht darauf beschränken, nur die Einhaltung<br />
der <strong>Datenschutz</strong>regelungen zu überprüfen. Diese einzuhalten,<br />
ist ohnehin jeder verpflichtet. Zwar wird diese Einhaltung <strong>im</strong><br />
<strong>Datenschutz</strong>-Audit erstmals durchgängig extern kontrolliert, doch<br />
darf das Bestehen dieser Kontrolle allein noch nicht zu einer besonderen<br />
Auszeichnung des kontrollierten Unternehmens führen. Die<br />
Auszeichnung ist gerechtfertigt durch überobligationsmäßige Anstrengungen,<br />
die das Unternehmen über den gesetzlichen Min<strong>im</strong>alstandard<br />
hinaus untern<strong>im</strong>mt.<br />
2.4 <strong>Datenschutz</strong>-Audit als Lernsystem<br />
Das Ziel einer kontinuierlichen Verbesserung kann das <strong>Datenschutz</strong>-<br />
Audit nur erreichen, wenn es als ein Lernsystem verstanden wird.<br />
Wie be<strong>im</strong> Umweltschutz-Audit sollte auch <strong>im</strong> <strong>Datenschutz</strong> der Regelungsschwerpunkt<br />
auf der Normierung des "Lernprozesses" des<br />
<strong>Datenschutz</strong>managementsystems liegen. 7 Dieser Lernprozeß wird<br />
dadurch strukturiert, daß der Datenverarbeiter in einer umfassenden<br />
Betriebsprüfung eine Bestandsaufnahme der Verarbeitung personen-<br />
5<br />
6<br />
7<br />
Art. 3 lit a) der EG-UAVO.<br />
So auch Berliner <strong>Datenschutz</strong>beauftragter, <strong>Datenschutz</strong>-Bericht 1996, Berlin<br />
1997, 134; Roßnagel, DuD 1997, 507; Königshofen, DuD 1999, 266 ff.<br />
S. für das Umweltschutz-Audit z.B. Hemmelskamp/Neuser/Zehnle, ZEW-Wirtschaftsanalysen<br />
1994, 207; Köck, JZ 1995, 646.<br />
44
ezogener Daten erstellt und die hierfür relevanten Anforderungen<br />
des <strong>Datenschutz</strong>rechts zusammenträgt. Schon allein die dadurch angestoßene<br />
Vermehrung und Verbreitung des Wissens um die organisatorischen,<br />
technischen und gesetzlichen Rahmenbedingungen, in<br />
denen sich die Datenverarbeitung vollzieht, stellt einen positiv zu<br />
wertenden Erfolg dar. 8 Die Erkenntnisse aus dieser Bestandsaufnahme<br />
fließen in <strong>Datenschutz</strong>programme ein, für die konkrete Ziele,<br />
Maßnahmen und Fristen festzulegen sind. Nach Ablauf der Frist wird<br />
die Umsetzung dieser Programme überprüft und führt zu deren Fortschreibung.<br />
In diese gehen positive und negative Erfahrungen mit der<br />
Umsetzung bisheriger <strong>Datenschutz</strong>maßnahmen ein, die in reflektierter<br />
Form die nächsten Verbesserungsschritte best<strong>im</strong>men. Mit der<br />
Strukturierung eines solchen Lernprozesses würde in den <strong>Datenschutz</strong><br />
ein neues förderliches Element eingefügt. Zwar kann auch der<br />
betriebliche <strong>Datenschutz</strong>beauftragte als Teil eines betrieblichen<br />
Lernsystems verstanden werden. Doch beschränkt sich bei ihm die<br />
rechtliche Normierung auf die Institutionalisierung (Bestellungspflicht).<br />
Nach der gesetzlichen Zielsetzung bleibt es dem Innenverhältnis<br />
zwischen dem Unternehmen und dem Betriebsbeauftragten<br />
überlassen, sowohl das Verfahren als auch den Erfolg des innerbetrieblichen<br />
Lernprozesses selbst auszugestalten. Das <strong>Datenschutz</strong>-<br />
Audit müßte darüber deutlich hinausgehen, indem es den Lernprozeß<br />
strukturiert und über die Belohnung eines best<strong>im</strong>mten "Lernerfolgs"<br />
diesen indirekt mitnormiert.<br />
3. "Ideengeschichte" des <strong>Datenschutz</strong>-Audits<br />
Die Programmnorm für ein <strong>Datenschutz</strong>-Audit <strong>im</strong> späteren Mediendienste-Staatsvertrag<br />
(MDStV) geht zurück auf einen Vorschlag der<br />
"Projektgruppe verfassungsverträgliche Technikgestaltung (provet)",<br />
den diese <strong>im</strong> Rahmen eines Gutachtens "Vorschläge zur Regelung<br />
von <strong>Datenschutz</strong> und Rechtssicherheit in Online-Mult<strong>im</strong>edia-<br />
Anwendungen" für das Bundesministerium für Bildung, Wissenschaft,<br />
Forschung und Technologie unterbreitet hat. 9 Aufgrund die-<br />
8<br />
9<br />
S. für das Umwelt-Audit ähnlich Führ, Eigenverantwortung oder Öko-Staat<br />
Sicherung der Selbstverantwortung in Unternehmen, in: Roßnagel/Neuser<br />
(Hrsg.), Reformperspektiven <strong>im</strong> Umweltrecht, Baden-Baden 1996, 247.<br />
Das Gutachten stammt vom 15.2.1996 - s. provet, Vorschläge zur Regelung von<br />
<strong>Datenschutz</strong> und Rechtssicherheit in Online-Mult<strong>im</strong>edia-Anwendungen, Gut-<br />
45
ses Vorschlags war das <strong>Datenschutz</strong>-Audit in den ersten Entwürfen 10<br />
(§ 13 Teledienstegesetz - TDG) 11 des Informations- und Kommunikationsdienste-Gesetzes<br />
(IuKDG) enthalten. Auch der parallel zum<br />
IuKDG erarbeitete MDStV sah wortgleich in § 17 die Möglichkeit<br />
eines <strong>Datenschutz</strong>-Audits vor. Während der MDStV diese Vorschrift<br />
beibehielt, war sie in der am 15.12.1996 von der Bundesregierung<br />
beschlossenen Fassung des IuKDG 12 überraschender Weise 13 nicht<br />
mehr zu finden. Eine offizielle Begründung hierfür fehlt. Der<br />
MDStV 14 hat das <strong>Datenschutz</strong>-Audit in seinem § 17 wie folgt geregelt:<br />
"Zur Verbesserung von <strong>Datenschutz</strong> und Datensicherheit können<br />
Anbieter von Mediendiensten ihr <strong>Datenschutz</strong>konzept sowie<br />
ihre technischen Einrichtungen durch unabhängige und zugelassene<br />
Gutachter prüfen und bewerten lassen. Die näheren<br />
Anforderungen an die Prüfung und Bewertung, das Verfahren<br />
sowie die Auswahl und Zulassung der Gutachter werden durch<br />
besonderes Gesetz geregelt."<br />
10<br />
11<br />
12<br />
13<br />
14<br />
achten für das Bundesministerium für Bildung, Wissenschaft, Forschung und<br />
Technologie, Darmstadt 1996, oder<br />
; der Vorschlag eines <strong>Datenschutz</strong>-Audits befand sich<br />
bereits in einem Eckwerte-Papier zu dem Gutachten vom 15.12.1995. Eine<br />
JURIS-Recherche ergab keine Erwähnung des <strong>Datenschutz</strong>-Audits vor diesem<br />
Zeitpunkt. Etwa zur gleichen Zeit wurde auch von Königshofen eine ähnliche I-<br />
dee ("<strong>Datenschutz</strong>-Gütesiegel") entwickelt - s. Königshofen, DuD 1999, 267 -,<br />
ohne sie allerdings zu publizieren. Der Hinweis von Königshofen, die Idee des<br />
"<strong>Datenschutz</strong>-Gütesiegels" sei schon früher z.B. bei Hassemer, DuD 1995, 449<br />
diskutiert worden, ist unzutreffend. Dort heißt es lediglich: "Es ist jetzt auch die<br />
'Akzeptanz' der neuen Technologien bei Käufern und Wählern, welche auf die<br />
datenschutzrechtliche Unbedenklichkeit wie ein Gütesiegel aufmerksam machen<br />
könnte".<br />
S. den ersten Referentenentwurf vom 28.6.1996.<br />
Die <strong>Datenschutz</strong>vorschriften waren damals noch nicht in einem eigenen Teledienstedatenschutzgesetz<br />
(TDDSG) zusammengefaßt, sondern Teil des TDG.<br />
BR-Drs. 966/96; BT-Drs. 13/3385.<br />
Bachmeier, DuD 1996, 672, stellte noch <strong>im</strong> November 1996 darüber "keinen<br />
politischen Streit" fest und rechnete fest mit der Verabschiedung der Vorschrift<br />
<strong>im</strong> IuKDG. Unverständnis über die Streichung äußert der Berliner <strong>Datenschutz</strong>beauftragte<br />
(Fn. 5), 135.<br />
Der MDStV ist am 1.8.1997 in Kraft getreten.<br />
46
Ein Gesetz, wie es § 17 Abs. 2 MDStV ankündigt, ist bisher noch<br />
nirgendwo erlassen worden. Auch ist bisher weder der Entwurf eines<br />
solches Gesetzes noch gar die Arbeit an einem solchen Entwurf bekannt.<br />
Zur Etablierung des <strong>Datenschutz</strong>-Audits wurden neben der erfolgten<br />
Regulierung <strong>im</strong> MDStV drei weitere Regelungsinitiativen<br />
unternommen und in Brandenburg sogar eine Initiative umgesetzt:<br />
Am 14.11.1997 hat die Fraktion BÜNDNIS 90/DIE GRÜNEN einen<br />
Gesetzentwurf zu einem neuen Bundesdatenschutzgesetz in den<br />
Bundestag eingebracht, 15 in dem in § 17 ein <strong>Datenschutz</strong>-Audit vorgesehen<br />
war. Diese Vorschrift ist nahezu wortgleich mit § 17<br />
MDStV. Am 30.10.1998 legte der Landesbeauftragte für den <strong>Datenschutz</strong><br />
in Schleswig-Holstein den Entwurf eines neuen Landesdatenschutzgesetzes<br />
vor, in dessen § 34 Abs. 3 ein <strong>Datenschutz</strong>-Audit<br />
vorgesehen ist. Die Vorschrift lautet:<br />
"Datenverabeitende Stellen können ihr <strong>Datenschutz</strong>konzept<br />
durch die Landesbeauftragte oder den Landesbeauftragten für<br />
den <strong>Datenschutz</strong> prüfen und beurteilen lassen. Das Nähere regelt<br />
die Verordnung nach § 5 Absatz 4." 16<br />
In Brandenburg ist am 21.12.1998 eine Programmnorm zum <strong>Datenschutz</strong>-Audit<br />
sogar Gesetz geworden. 17 Die Vorschrift des § 11c des<br />
neuen Landesdatenschutzgesetzes lautet:<br />
"Die öffentlichen Stellen können zur Verbesserung von <strong>Datenschutz</strong><br />
und Datensicherheit sowie zum Erreichen größtmöglicher<br />
Datensparsamkeit ihr <strong>Datenschutz</strong>konzept sowie ihre technischen<br />
Einrichtungen durch unabhängige und zugelassene<br />
Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung<br />
veröffentlichen lassen. Sie können auch bereits geprüfte und<br />
bewertete <strong>Datenschutz</strong>konzepte und -programme zum Einsatz<br />
bringen. Die näheren Anforderungen an die Prüfung und Bewertung,<br />
das Verfahren sowie die Auswahl und Zulassung der<br />
Gutachter werden durch besonderes Gesetz geregelt."<br />
15<br />
16<br />
17<br />
BT-Drs. 13/9082.<br />
<strong>Landesbeauftragter</strong> für den <strong>Datenschutz</strong> Schleswig-Holstein,<br />
LT-Drs. 14/1738, 80.<br />
GVBl. I, 243.<br />
47
Umsetzungsregelungen, die erst eine Durchführung von <strong>Datenschutz</strong>-Audits<br />
ermöglichen, fehlen aber auch hier.<br />
Von besonderer Bedeutung für die Realisierung eines <strong>Datenschutz</strong>-<br />
Audits dürfte sein, daß das Bundesinnenministerium am 11.3.1999<br />
einen Entwurf eines neuen BDSG vorgelegt hat, der eine Programmnorm<br />
für ein <strong>Datenschutz</strong>-Audit vorsieht. § 9a BDSG-E lautet:<br />
"Zur Verbesserung des <strong>Datenschutz</strong>es und der Datensicherheit<br />
können Anbieter von Datenverarbeitungssystemen und -programmen<br />
und datenverarbeitende Stellen ihr <strong>Datenschutz</strong>konzept<br />
sowie ihre technischen Einrichtungen durch unabhängige<br />
und zugelassene Gutachter prüfen und bewerten lassen sowie<br />
das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen<br />
an die Prüfung und Bewertung, das Verfahren sowie<br />
die Auswahl und Zulassung der Gutachter werden durch besonderes<br />
Gesetz geregelt."<br />
Die Idee eines <strong>Datenschutz</strong>-Audits stieß von Anfang auf viel Sympathie.<br />
18 Ausgearbeitete Konzepte jedoch fehlten. Ein solches wurde<br />
erstmals <strong>im</strong> September 1997 konkretisiert 19 und inzwischen in einem<br />
Gutachten für das Bundesministerium für Wirtschaft und Technologie<br />
ausgearbeitet. 20<br />
4. Vorbild Umweltschutz-Audit<br />
Die Idee eines <strong>Datenschutz</strong>-Audits geht zurück auf das Umweltschutz-Audit,<br />
das in Form einer Verordnung der Europäischen Ge-<br />
18<br />
19<br />
20<br />
S. z.B. Ulrich, DuD 1996, 668; Bachmeier, DuD 1996, 673; Engel-Flechsig,<br />
DuD 1997,15; Engel-Flechsig, RDV 1997, 66; Berliner <strong>Datenschutz</strong>beauftragter<br />
(Fn 5), 134 f.; Bizer 1997, 149; Bundestags-Fraktion BÜNDNIS 90/DIE<br />
GRÜNEN, BT-Drs. 13/9082; <strong>Landesbeauftragter</strong> für den <strong>Datenschutz</strong> Schleswig-Holstein,<br />
LT-Drs. 14/1738, 13; Vogt/Tauss, Entwurf für ein Eckwerte Papier<br />
der SPD-Bundestagsfraktion: Modernes <strong>Datenschutz</strong>recht für die (globale)<br />
Wissens- und Informationsgesellschaft, Bonn Oktober 1998, 19; kritisch zum<br />
<strong>Datenschutz</strong>-Audit Drews/Kranz, DuD 1998, 94.<br />
Roßnagel, DuD 1997, 505.<br />
Roßnagel, <strong>Datenschutz</strong>-Audit, Konzept und Entwurf eines <strong>Datenschutz</strong>-Audit-<br />
Gesetzes, Rechtsgutachten für das Bundesministerium für Wirtschaft und Technologie,<br />
1999.<br />
48
meinschaft 21 und in Form einer Techniknorm der International Standardization<br />
Organisation (ISO) 22 geregelt ist. Die unmittelbar geltende<br />
EG-Verordnung wird ergänzt durch das Umweltauditgesetz<br />
(UAG) 23 und vier Rechtsverordnungen 24 , die zur deren innerstaatlichen<br />
Umsetzung ergangen sind.<br />
Durch das Umweltschutz-Audit sollen die Eigenverantwortung des<br />
Unternehmens für dessen Umweltauswirkungen und Umweltmanagement<br />
gestärkt und Vollzugsdefizite verringert werden. Die Teilnahme<br />
an dem Verfahren ist freiwillig. Als Anreiz wird dem erfolgreich<br />
teilnehmenden Unternehmen ermöglicht, mit der zertifizierten<br />
Umwelterklärung Image-Werbung in der Öffentlichkeit zu betreiben<br />
und sich <strong>im</strong> Wettbewerb von anderen, nicht oder nicht erfolgreich<br />
teilnehmenden Unternehmen zu unterscheiden.<br />
Gegenstand des Umweltschutz-Audits sind die Aktivitäten eines<br />
Unternehmens an einem Standort. Für diesen Standort geht das Unternehmen<br />
eine Selbstverpflichtung ein, die einschlägigen Umweltrechtsvorschriften<br />
einzuhalten und das bestehende betriebliche Umweltschutzniveau<br />
kontinuierlich zu verbessern. Als anzustrebender<br />
Umweltschutzstandard gilt die jeweils wirtschaftlich vertretbare Anwendung<br />
der besten verfügbaren Umwelttechnik. Zur Umsetzung der<br />
Selbstverpflichtung wird ein Umweltmanagementsystem eingerich-<br />
21<br />
22<br />
23<br />
24<br />
EG-Verordnung "über die freiwillige Beteiligung gewerblicher Unternehmen an<br />
einem Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung"<br />
(EG-UAVO), Nr. 1836/93 des Rates vom 29.6.1993, EG-ABl.<br />
Nr. L 168/1.<br />
ISO EN DIN 14.001 vom Oktober 1996 sowie weitere Normen der 14.000er<br />
Reihe.<br />
Gesetz vom 7.12.1995, BGBl I, 1591.<br />
Verordnung über das Verfahren zur Zulassung von Umweltgutachtern und Umweltgutachterorganisationen<br />
sowie zur Erteilung von Fachkenntnisbescheinigungen<br />
nach dem Umweltauditgesetz (UAG-Zulassungsverfahrensverordnung -<br />
UAGZVV) vom 18.12.1995, BGBl I, 1841; Verordnung über die Beleihung der<br />
Zulassungsstelle nach dem Umweltauditgesetz (UAG-Beleihungsverordnung -<br />
UAGBV) vom 18.12.1995, BGBl I, 2013; Verordnung über Gebühren und<br />
Auslagen für Amtshandlungen der Zulassungsstelle und des Widerspruchsausschusses<br />
bei der Durchführung des Umweltauditgesetzes (UAG-Gebührenverordnung<br />
- UAGGebV) vom 18.12.1995, BGBl I, 2014; Verordnung nach<br />
dem Umweltauditgesetz über die Erweiterung des Gemeinschaftssystems für das<br />
Umweltmanagement und die Umweltbetriebsprüfung auf weitere Bereiche<br />
(UAG-Erweiterungsverordnung - UAG-ErwV) vom 3.2.1998, BGBl I, 338.<br />
49
tet, das in regelmäßigen Abständen in einer von dem Unternehmen<br />
selbst durchgeführten Umweltbetriebsprüfung auditiert wird. Die<br />
daraus entstehende Umwelterklärung wird von einem externen Gutachter<br />
überprüft. Im Falle einer positiven Validierung durch den externen<br />
Gutachter wird die Umwelterklärung veröffentlicht und an die<br />
zuständige Behörde zur Standortregistrierung <strong>im</strong> Verzeichnis der am<br />
Umweltschutz-Audit teilnehmenden Unternehmen weitergeleitet.<br />
Aufgrund der Standortregistrierung ist das Unternehmen dann berechtigt,<br />
eine Teilnahmeerklärung für Werbezwecke zu nutzen.<br />
Die bisherigen Erfahrungen mit dem noch jungen Umweltschutz-<br />
Audit sind differenziert, aber überwiegend positiv. Es wird von vielen<br />
Unternehmen akzeptiert, verändert die unternehmensinternen<br />
Strukturen und Aufmerksamkeiten und zeigt erste Verbesserungsergebnisse.<br />
25 Ende 1998 waren 1734 Standorte in Deutschland eingetragen.<br />
26 Die Zugänge zum Standortregister belaufen sich auf circa<br />
40 <strong>Neue</strong>inträge pro Monat. Aufgrund der UAG-Erweiterungsverordnung<br />
ist mit einer weiteren Steigerung der Neuteilnahmen zu<br />
rechnen, da durch diese weiteren Branchen die Teilnahme ermöglicht<br />
wurde. Als Kosten für die Einführung des Umwelt-Managementsystems<br />
einschließlich der betriebsinternen Kosten wurden zwischen<br />
6.000 DM und 800.000 DM angegeben. Als arithmetisches<br />
Mittel ergab sich ein Betrag von 102.241 DM. 27 Bezieht man die<br />
Einspareffekte auf die Auditkosten, ergibt sich eine Amortisationszeit<br />
von durchschnittlich weniger als 1,5 Jahren. Bis Ende 1998 wurden<br />
bei einer Durchfallquote von 59,5% 229 Umweltgutachter, davon<br />
33 Umweltgutachterorganisationen zugelassen.<br />
Insgesamt kann das in der gesamten EU geltende Verfahren des<br />
Umweltschutz-Audits als Vorbild für die Konzeption eines <strong>Datenschutz</strong>-Audits<br />
genommen werden. Allerdings muß <strong>im</strong>mer wieder geprüft<br />
werden, inwieweit es <strong>im</strong> Detail für die völlig andere Zielsetzung<br />
des <strong>Datenschutz</strong>es als tauglich erscheint.<br />
5. Das Konzept eines <strong>Datenschutz</strong>-Audits<br />
25<br />
26<br />
27<br />
S. "Bericht der Bundesregierung über die Erfahrungen mit dem Vollzug des<br />
Umweltauditgesetzes (UAG)" vom 18.6.1998- BT-Drs. 13/11127.<br />
S. Lütkes/Ewer, NVwZ 1999, 20.<br />
S. hierzu die Zusammenfassung <strong>im</strong> Evaluationsbericht der Bundesregierung,<br />
BT-Drs. 13/11127, 7.<br />
50
Das entscheidende Mittel, um die genannten Ziele zu erreichen, ist<br />
die Einführung eines <strong>Datenschutz</strong>-Managementsystems und dessen<br />
wiederkehrende interne und externe Überprüfung und Verbesserung.<br />
5.1 System-Audit<br />
Das <strong>Datenschutz</strong>-Audit sollte daher als ein System-Audit konzipiert<br />
werden. Dagegen griffe ein reines Produkt-Audit viel zu kurz, um die<br />
genannten Zielsetzungen erfüllen zu können. Denn dieses setzt eine<br />
abschließende Qualifizierung des Produkts voraus. Die Prüfung wäre<br />
auf einen ganz spezifischen Gegenstand bezogen, für ein abschließendes<br />
Urteil sehr voraussetzungsvoll und müßte bei jeder neuen<br />
Version des geprüften Gegenstandes erneut durchlaufen werden. 28<br />
Eine solche Prüfung ist statisch und objektbezogen. Dagegen soll das<br />
<strong>Datenschutz</strong>-Audit prozeßbezogen sein und einen dynamischen<br />
Lernprozeß initiieren. In ihm soll die Fähigkeit eines Unternehmens<br />
überprüft und prämiert werden, flexibel auf die rasanten Veränderungen<br />
der Informations- und Kommunikationstechniken zu reagieren<br />
und die sich dadurch <strong>im</strong>mer wieder neu stellenden Herausforderungen<br />
für den <strong>Datenschutz</strong> zu meistern. Daher zielt das <strong>Datenschutz</strong>-Audit<br />
nicht auf die einmalige Evaluierung eines Produkts,<br />
sondern auf die Fähigkeit, <strong>im</strong>mer wieder neue Lösungen zu generieren<br />
und daher auf die kontinuierliche Verbesserung eines <strong>Datenschutz</strong>-Managementsystems.<br />
Gegenstand des <strong>Datenschutz</strong>-Audits ist<br />
die Funktionsfähigkeit und Zweckmäßigkeit des unternehmensinternen<br />
<strong>Datenschutz</strong>-Managements. 29 Das <strong>Datenschutz</strong>-Audit soll eine<br />
Ressource nutzen, die für den <strong>Datenschutz</strong> bisher noch nicht genutzt<br />
28<br />
29<br />
S. für die Datensicherheit z.B. die Produktzertifizierung durch das BSI nach dem<br />
BSIG.<br />
So Kothe, Das neue Umweltauditrecht, München 1996, 5 für das Umweltschutz-<br />
Audit; für das <strong>Datenschutz</strong>-Audit Roßnagel, DuD 1997, 509; so dürfte wohl<br />
auch die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft<br />
- Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002,<br />
104, zu verstehen sein, wenn sie einen Vorteil des <strong>Datenschutz</strong>-Audits darin<br />
sieht, "dem Nutzer die Überprüfung des Umgangs eines Unternehmens mit personenbezogenen<br />
Daten ermöglichen".<br />
51
wird, nämlich die Möglichkeiten eines <strong>Datenschutz</strong>managements.<br />
Dementsprechend ist das <strong>Datenschutz</strong>-Audit als System-Audit zu<br />
konzipieren.<br />
5.2. Freiwilligkeit<br />
Das <strong>Datenschutz</strong>-Audit sollte freiwillig sein. 30 Für die Unternehmensvertreter,<br />
die sich bisher zum <strong>Datenschutz</strong>-Audit geäußert haben,<br />
ist dies eine essentielle Voraussetzung für die Akzeptanz des<br />
<strong>Datenschutz</strong>-Audits. 31 Die Freiwilligkeit führt zwar dazu, daß möglicherweise<br />
gerade die Unternehmen nicht am Verfahren teilnehmen,<br />
für deren Datenverarbeitung ein großer Verbesserungsbedarf und ein<br />
besonderes Interesse in der Öffentlichkeit besteht. 32 Für eine freiwillige<br />
Teilnahme sprechen jedoch vor allem zwei Erwägungen: Zum<br />
einen läßt die Freiwilligkeit der Beteiligung einen wesentlich größeren<br />
Raum für die Formulierung anspruchsvoller Vorgaben, die zu erreichen<br />
tatsächlich nicht alle Unternehmen in der Lage sind. Zum<br />
anderen widerspräche eine verpflichtende Teilnahme der Systematik<br />
des Instruments. Denn wenn die Eigenverantwortlichkeit der Unternehmen<br />
gestärkt werden soll, so wäre hierfür kein Raum, wenn die<br />
Teilnahme verpflichtend ist. Außerdem kommt der Öffentlichkeit<br />
eine entscheidende Rolle zu, indem sie über die Marktnachfrage die<br />
Unternehmen zu einer Teilnahme veranlassen soll. Als marktorientiertes<br />
Instrument kann das <strong>Datenschutz</strong>-Audit aber nur funktionieren,<br />
wenn die Teilnahme an ihm freiwillig ist. Das <strong>Datenschutz</strong>-<br />
Audit ist gerade kein "Ansatz einer externen Fremdregulierung" 33 ,<br />
sondern ein Instrument der unternehmensinternen Selbstregulierung<br />
mit öffentlicher Anerkennung.<br />
30<br />
31<br />
32<br />
33<br />
Ebenso Entschließungsantrag der SPD-Bundestagsfraktion, BT-Drs. 13/7936, 5;<br />
Vogt/Tauss (Fn 18), 19; Bachmeier, DuD 1996, 680; Roßnagel, DuD 1997, 509;<br />
kritisch gegenüber der freiwilligen Teilnahme am Umweltschutz-Audit Führ,<br />
EuZW 1992, 471, und ders., NVwZ 1993, 860.<br />
S. z.B. VDMA/ZVEI, Schriftliche Stellungnahme zur Anhörung zum IuKDG<br />
am 14.5.1997; Arbeitskreis "<strong>Datenschutz</strong>beauftragte" <strong>im</strong> Verband der Metallindustrie<br />
Baden-Württemberg (VMI), s. DuD 1999, 281 ff.; Königshofen, DuD<br />
1999, 266 ff.<br />
Aus diesem Grund enthält § 14 des Allgemeinen Teils des vorgeschlagenen<br />
Umweltgesetzbuchs eine Verpflichtung für Großbetriebe, eine Öko-Bilanz<br />
durchzuführen.<br />
So aber Drews/Kranz, DuD 1998, 94.<br />
52
5.3 Angebot an die "<strong>Datenschutz</strong>vorreiter"<br />
Das <strong>Datenschutz</strong>-Audit ist ein Angebot zur Auszeichnung der Besten.<br />
Zwar wäre es schön, wenn sehr viele datenverarbeitende Stellen<br />
zu diesen Besten gehören würden. Doch darf dieses Ziel nicht durch<br />
eine Reduzierung der Anforderungen erkauft werden. Das <strong>Datenschutz</strong>-Audit<br />
wird von den "Anspruchsgruppen" - wie Kunden, Vertragspartner,<br />
Mitarbeiter, Banken, Versicherungen, Anteilseigner,<br />
Behörden, Presse, Parteien und die interessierte Öffentlichkeit - nur<br />
dann akzeptiert werden, wenn es ein verläßliches Unterscheidungsmerkmal<br />
zwischen hohem und niedrigem <strong>Datenschutz</strong>- und Datensicherheitsniveau<br />
ist. Die bestätigte <strong>Datenschutz</strong>erklärung muß einen<br />
diskr<strong>im</strong>inierenden Aussagewert haben. Die Bestätigung muß zwar<br />
grundsätzlich von jedem Unternehmen - bei entsprechenden Anstrengungen<br />
- erreicht werden können, darf aber nicht von jedem<br />
"<strong>Datenschutz</strong>nachzügler" auch tatsächlich erreicht werden, sondern<br />
muß die "<strong>Datenschutz</strong>vorreiter" von diesen unterscheiden. Das <strong>Datenschutz</strong>-Audit<br />
setzt daher hohe Anforderungen voraus. Es muß am<br />
Markt als Auszeichnung derer verstanden werden, die diesen hohen<br />
Maßstab erreichen.<br />
5.4 Umsetzung der Programmnorm des § 9a BDSG-E<br />
Ein <strong>Datenschutz</strong>-Audit-Gesetz muß die Programmnorm des § 9a<br />
BDSG-E beachten. Diese ermöglicht für sich genommen noch kein<br />
<strong>Datenschutz</strong>-Audit, weil die Ausführungsregelungen erst noch durch<br />
ein Gesetz geregelt werden müssen. Mit ihr schließt der Gesetzgeber<br />
allerdings die Diskussion über das "Ob" eines <strong>Datenschutz</strong>-Audits<br />
ab, setzt sich mit ihr selbst ein Ziel und deutet die Art und Weise der<br />
Erfüllung des Programms an. Damit setzt er rechtspolitisch ein Zeichen,<br />
an dem sich die interessierten Kreise orientieren können.<br />
Für das eigentliche <strong>Datenschutz</strong>-Audit-Gesetz ist die Programmnorm<br />
rechtlich in keiner Weise bindend. Auch wenn sie dieses ankündigt,<br />
ist sie ihm nicht übergeordnet. Es ist wie die Programmnorm <strong>im</strong><br />
rechtlichen Rang ein Gesetz, das ihr sogar aus zwei Gründen vorgeht:<br />
Es ist zum einen ein Spezialgesetz, das nach § 1 Abs. 4 Satz 1<br />
BDSG den Regelungen des BDSG vorgeht. Zum anderen hat es al-<br />
53
lein schon nach der Lex-Posterior-Regel <strong>im</strong> Konfliktfall Vorrang vor<br />
dem älteren Gesetz.<br />
Allerdings stellt die Formulierung des § 9a BDSG-E einen Kompromiß<br />
zwischen den an seiner Entstehung beteiligten Interessen dar<br />
und entfaltet damit gewisse politische Bindungswirkungen. Daher<br />
sollte diese Grundlage nicht ohne Not verlassen werden. Bei richtiger<br />
Interpretation kann diese Vorschrift auch ein passender Anknüpfungspunkt<br />
für die Umsetzung des hier entworfenen Konzepts eines<br />
<strong>Datenschutz</strong>-Audits sein.<br />
Die Vorschrift unterscheidet zwei Adressatengruppen und zwei Gegenstandsbereiche.<br />
Entscheidend ist der Unterschied zwischen technischen<br />
Einrichtungen und <strong>Datenschutz</strong>konzepten. Denn deren Ü-<br />
berprüfung fordert ganz unterschiedliche Konzepte der Auditierung:<br />
Für technische Einrichtungen ist ein Produkt-Audit und für <strong>Datenschutz</strong>konzepte,<br />
die von einem <strong>Datenschutz</strong>management umzusetzen<br />
sind, ist ein System-Audit erforderlich. Daher müssen zur Umsetzung<br />
der Programmnorm des § 9a BDSG-E zwei unterschiedliche<br />
Wege verfolgt werden: die Regelung eines Produkt-Audits und die<br />
Regelung eines System-Audits.<br />
Beiden Auditformen sind die unterschiedlichen Adressatengruppen<br />
zuzuordnen - wenn auch nicht ausschließlich, so doch schwerpunktmäßig.<br />
Die Anbieter von Datenverarbeitungssystemen und -programmen<br />
bieten technische Einrichtungen an, die in einem Produkt-<br />
Audit auf ihren Beitrag zur Verbesserung des <strong>Datenschutz</strong>es überprüft<br />
werden können. Für datenverarbeitende Stellen ist es zwar nicht<br />
ausgeschlossen, aber doch eher seltener, daß sie technische Einrichtungen<br />
entwickeln, die sie auditieren lassen wollen. Personenbezogene<br />
Daten werden dagegen von den datenverarbeitenden Stellen<br />
verarbeitet, die für deren Erhebung, Verarbeitung und Nutzung ein<br />
<strong>Datenschutz</strong>konzept erarbeiten, das in einem System-Audit überprüft<br />
werden kann. Auch die Anbieter von Datenverarbeitungssystemen<br />
und -programmen können für ihre technischen Einrichtungen ein<br />
<strong>Datenschutz</strong>konzept entworfen haben. Dieses ist aber in die technische<br />
Einrichtung eingegangen und nicht Gegenstand einer gesonderten<br />
Prüfung. Es wird <strong>im</strong> Produkt-Audit mitevaluiert.<br />
54
Beide Formen des Audits sollten getrennt werden. Es macht wenig<br />
Sinn, wenn die vielen tausend Anwender eines Datenverarbeitungssystems<br />
oder -programms dieses viel tausendfach auditieren lassen.<br />
Vielmehr sollte allein der jeweilige Anbieter für das System oder<br />
Programm ein einziges Produkt-Audit durchführen. Die datenverarbeitenden<br />
Stellen sollten sich dagegen <strong>im</strong> Rahmen ihres System-<br />
Audits verpflichten, - soweit vorhanden - auditierte Datenverarbeitungssysteme<br />
und -programme in ihrer Datenverarbeitung einzusetzen.<br />
Das System-Audit wiederum zielt auf eine Überprüfung und<br />
Bewertung des <strong>Datenschutz</strong>managementsystems einer datenverarbeitenden<br />
Stelle und ist ungeeignet, verläßliche Aussagen über eine<br />
technische Einrichtung zu generieren. Das Produkt-Audit für Datenverarbeitungssysteme<br />
und -programme kann daher nicht durch ein<br />
System-Audit ersetzt werden.<br />
Aus dieser Interpretation der Programmnorm des § 9a BDSG-E ergibt<br />
sich folgende Regelungsstrategie: Die Anbieter von Datenverarbeitungssystemen<br />
und -programmen sollten die gesetzliche Möglichkeit<br />
erhalten, ihre technischen Einrichtungen durch unabhängige und<br />
zugelassene Gutachter prüfen und bewerten zu lassen sowie das Ergebnis<br />
der Prüfung zu veröffentlichen. Zu diesem Zweck sollte das<br />
BSIG um den Aspekt des <strong>Datenschutz</strong>es erweitert werden. In § 4<br />
BSIG ist bereits die Möglichkeit für eine Zertifizierung der Datensicherheit<br />
eröffnet. Für den Aspekt des <strong>Datenschutz</strong>es müßten konkrete<br />
Prüfkriterien erarbeitet werden. Zu diesem Zweck könnte in einer<br />
Novelle des BSIG eine Ermächtigung zum Erlaß eines Kriterienkatalogs<br />
vorgesehen werden. Diese könnte sich an § 16 Abs. 6 SigV<br />
orientieren. 34 Danach wäre in der Ermächtigung festzuhalten, daß das<br />
Bundesamt für Sicherheit in der Informationstechnik einen Katalog<br />
geeigneter Kriterien erstellt und fortführt, anhand derer die Gewährleistung<br />
von <strong>Datenschutz</strong> und Datensicherheit technischer Einrichtungen<br />
bewertet werden kann. An der Erstellung und Fortführung des<br />
Katalogs sind Experten aus Wirtschaft und Wissenschaft zu beteiligen.<br />
Die jeweils gültige Fassung wird <strong>im</strong> Bundesanzeiger veröffentlicht.<br />
34<br />
S. zu dieser Vorschrift Roßnagel/Pordesch in: Roßnagel (Hrsg.), Recht der<br />
Mult<strong>im</strong>edia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz<br />
und zum Mediendienste-Staatsvertrag, München 1999, § 16<br />
SigV, Rn. 111.<br />
55
Datenverarbeitende Stellen sollten entsprechend § 9a BDSG-E die<br />
gesetzliche Möglichkeit erhalten, ihre <strong>Datenschutz</strong>konzepte durch<br />
unabhängige und zugelassene Gutachter prüfen und bewerten zu lassen<br />
sowie das Ergebnis der Prüfung zu veröffentlichen. Da ein <strong>Datenschutz</strong>konzept<br />
allein als Papierdokument wenig aussagekräftig ist,<br />
kann der Begriff des <strong>Datenschutz</strong>konzepts zur Verbesserung von<br />
<strong>Datenschutz</strong> und Datensicherheit nur so gemeint sein, daß er neben<br />
der programmatischen Formulierung des Konzepts auch dessen organisatorische<br />
Ausprägung und Umsetzung durch konkrete Maßnahmen<br />
beinhaltet. In diesem Sinn entspricht das <strong>Datenschutz</strong>konzept<br />
der Formulierung einer <strong>Datenschutz</strong>politik, deren Konkretisierung<br />
in einem <strong>Datenschutz</strong>programm und organisatorischen Umsetzung<br />
in einem <strong>Datenschutz</strong>managementsystem. Die Auditierung dieses<br />
<strong>Datenschutz</strong>konzepts kann in der Form erfolgen, daß die datenverarbeitende<br />
Stelle eine interne <strong>Datenschutz</strong>betriebsprüfung durchführt,<br />
als deren Ergebnis sie eine <strong>Datenschutz</strong>erklärung erstellt und<br />
diese von einem unabhängigen und zugelassenen <strong>Datenschutz</strong>gutachter<br />
prüfen und bewerten läßt.<br />
6. Kriterien<br />
Ziel der Prüfung ist es, das <strong>Datenschutz</strong>management danach zu bewerten,<br />
ob es für die jeweilige Anwendung geeignet und effektiv ist,<br />
die Einhaltung des geltenden <strong>Datenschutz</strong>rechts sicherzustellen und<br />
eine kontinuierliche Verbesserung des <strong>Datenschutz</strong>es zu erreichen.<br />
Die Prüfung verwendet also zwei Maßstäbe: einen objektiven, für<br />
alle gleichen Maßstab und einen subjektiven, den der einzelne Anbieter<br />
nach seinen individuellen Möglichkeiten best<strong>im</strong>mt.<br />
6.1 Objektive Kriterien<br />
Der objektive Maßstab, der für alle Unternehmen und Anwendungen<br />
gleichermaßen als Min<strong>im</strong>alstandard zugrunde gelegt wird, sind die<br />
Vorschriften des <strong>Datenschutz</strong>rechts. Da diese für alle Teilnehmer<br />
gleich sind, wird ein hohes Maß an Vergleichbarkeit und Wettbewerbsgerechtigkeit<br />
sichergestellt. Durch diesen Maßstab wird das<br />
<strong>Datenschutz</strong>-Audit zu einem Instrument innerbetrieblichen Gesetzesvollzugs.<br />
56
Viele Vorschläge wollen die <strong>Datenschutz</strong>prüfung auf die Rechtmäßigkeitskontrolle<br />
beschränken. 35 Dies kann aber nicht das einzige<br />
Kriterium für ein freiwilliges, wettbewerbsorientiertes öffentliches<br />
<strong>Datenschutz</strong>-Audit sein. Allein für die Erfüllung der ohnehin bestehenden<br />
Pflicht, die <strong>Datenschutz</strong>gesetze einzuhalten, kann es keine<br />
besondere Anerkennung geben. Das <strong>Datenschutz</strong>-Audit soll die besonderen<br />
Anstrengungen eines Anbieters von Telediensten mit einer<br />
Werbemöglichkeit prämieren. Es darf keine Auszeichnung für<br />
Selbstverständliches sein. Die Rechtmäßigkeitskontrolle ist daher ein<br />
notwendiger Bestandteil eines jeden <strong>Datenschutz</strong>-Audits. Denn die<br />
Bestätigung für besondere Anstrengungen <strong>im</strong> <strong>Datenschutz</strong> setzt voraus,<br />
daß die geltenden <strong>Datenschutz</strong>anforderungen eingehalten werden.<br />
Die Gesetzeskonformität des Angebots ist aber noch kein hinreichender<br />
Maßstab für ein <strong>Datenschutz</strong>-Audit. Hinzu kommen müssen<br />
freiwillige, individuell festgelegte, aber über das Normale hinausgehende<br />
Anstrengungen zur Verbesserung des <strong>Datenschutz</strong>es.<br />
Soweit das <strong>Datenschutz</strong>recht klare Anforderungen an die datenverarbeitende<br />
Stelle enthält, ist die Feststellung des objektiven Prüfungsmaßstabs<br />
kein Problem. Wie aber ist zu verfahren, wenn das <strong>Datenschutz</strong>recht<br />
keine klaren und eindeutigen Anforderungen enthält<br />
Was soll objektiver Maßstab sein, wenn das Recht etwa statt präziser<br />
Handlungs- oder Gestaltungsanforderungen nur ein Opt<strong>im</strong>ierungsziel<br />
nennt und dies gar noch unter den Vorbehalt der Zumutbarkeit stellt.<br />
Ein solches Ziel ist zum Beispiel in § 3 Abs. 4 TDDSG und § 12<br />
Abs. 5 MDStV - und ähnlich in § 3a BDSG-E - formuliert: "Die<br />
Gestaltung und Auswahl technischer Einrichtungen für Teledienste<br />
hat sich an dem Ziel, keine oder so wenige personenbezogene Daten<br />
wie möglich zu erheben, zu verarbeiten und zu nutzen, auszurichten."<br />
Die abstrakt rechtsdogmatisch zutreffende Feststellung, daß es rechtlich<br />
ein richtiges Ergebnis in der Konkretisierung dieser Norm geben<br />
muß, wird den Bedingungen der vollzugspraktischen Durchsetzung<br />
35<br />
So z.B. der Arbeitskreis "<strong>Datenschutz</strong>beauftragte" <strong>im</strong> Verband der Metallindustrie<br />
Baden-Württemberg (VMI), DuD 1999, 281 ff. und der Entwurf des<br />
Landesdatenschutzbeauftragen Schleswig-Holstein - s. zu diesem Kap. 2. Für<br />
die Vorabüberprüfung von Verfahren in der Landesverwaltung mag die Beschränkung<br />
einen Sinn machen, wenn auch für diese eine kontinuierliche überobligationsmäßige<br />
Verbesserung des <strong>Datenschutz</strong>es erstrebenswert wäre.<br />
57
der Opt<strong>im</strong>ierungen und Abwägungen nicht gerecht. Über die für die<br />
Feststellung der Belange und deren Gewichtung notwendigen Informationen<br />
verfügt fast ausschließlich allein die datenverarbeitende<br />
Stelle. Diese wird der Gutachter nicht gegen die datenverarbeitende<br />
Stelle in ausreichendem Maß erheben können. Er ist auf die Informationen<br />
angewiesen, die die datenverarbeitende Stelle ihm präsentiert.<br />
Diese Informationen werden in der Regel die Konkretisierung<br />
des Opt<strong>im</strong>ierungsziels oder der Abwägung durch die Stelle und nicht<br />
mögliche Alternativkonkretisierungen des externen Gutachters stützen.<br />
Ohne umfangreiche eigene Aufklärungen wird der <strong>Datenschutz</strong>gutachter<br />
deren Feststellungen und Gewichtungen selten widerlegen<br />
können. Dem Charakter des <strong>Datenschutz</strong>-Audits als eines freiwilligen<br />
Instruments zur Stärkung der Selbstverantwortung des Datenverarbeiters<br />
würde es jedoch nicht entsprechen, dem <strong>Datenschutz</strong>gutachter<br />
richterliche Aufklärungs- und Entscheidungskompetenzen zuzuschreiben.<br />
Vielmehr ist für das <strong>Datenschutz</strong>-Audit das Zusammenspiel<br />
von objektiven Mindestkriterien und subjektiven Kriterien einer<br />
kontinuierlichen Verbesserung des <strong>Datenschutz</strong>niveaus fruchtbar zu<br />
machen.<br />
Wenn auf diese Weise <strong>im</strong> Rahmen des objektiven Kriteriums letztlich<br />
nur ein Mindeststandard an Opt<strong>im</strong>ierung und Abwägung durchgesetzt<br />
werden kann, ist dies <strong>im</strong> Rahmen des <strong>Datenschutz</strong>-Audits<br />
kein Nachteil. Denn eine Opt<strong>im</strong>ierung des <strong>Datenschutz</strong>es oder eine<br />
Abwägung zugunsten von mehr <strong>Datenschutz</strong> wird be<strong>im</strong> subjektiven<br />
Kriterium berücksichtigt. Diese hängen ohnehin von der Zumutbarkeit,<br />
von der subjektiven Möglichkeit, letztlich von den individuellen<br />
Umständen ab. Wenn diese nach subjektiver Leistungsfähigkeit befördert<br />
werden, entspricht dies genau dem Charakter und der Zielsetzung<br />
des <strong>Datenschutz</strong>-Audits.<br />
6.2 Subjektive Kriterien<br />
Der subjektive, auf dem objektiven aufbauende Maßstab ist die<br />
Selbstverpflichtung zur kontinuierlichen Verbesserung des <strong>Datenschutz</strong>es<br />
oberhalb datenschutzrechtlicher Pflichten. In Orientierung<br />
am Umweltschutz-Audit müßte sich das Unternehmen zwar zum<br />
Einsatz der besten, verfügbaren Technik und Organisation verpflichten.<br />
Durch die Anbindung dieser Verpflichtung an die "wirt-<br />
58
schaftliche Vertretbarkeit" ist die jeweilige Verbesserung des <strong>Datenschutz</strong>es<br />
jedoch in die Verantwortung des Unternehmens gestellt. Im<br />
einzelnen stellt das Unternehmen <strong>im</strong> <strong>Datenschutz</strong>programm einen<br />
Maßnahmenkatalog auf und legt für die einzelnen Maßnahmen<br />
Durchführungsfristen fest. Der Prüfungsmaßstab besteht dann darin<br />
festzustellen, wie hoch der Grad der Übereinst<strong>im</strong>mung zwischen geplanten<br />
und durchgeführten Maßnahmen ist. Für die "Übererfüllung"<br />
der gesetzlichen Anforderungen wird also gerade kein objektiver<br />
Maßstab angelegt. 36 Vielmehr best<strong>im</strong>men die Unternehmen selbst,<br />
um wieviel sie ihre <strong>Datenschutz</strong>anstrengungen über das rechtlich geforderte<br />
Min<strong>im</strong>um hinaus verbessern wollen.<br />
Ziele, die durch solche Anstrengungen <strong>im</strong>mer besser erreicht werden<br />
können, sind etwa die datenschutzgerechte Organisation von Abläufen<br />
wie die organisatorische Trennung von Zahlung, Lieferung und<br />
Service oder der Verarbeitung von Verbindungs-, Nutzungs- und Abrechnungsdaten,<br />
der Schutz vor übereilter Einwilligung, die Unterrichtung<br />
der Betroffenen, die Organisation von Auskunft, Berichtigung,<br />
Sperrung und Löschung, die Verwendung als datenschutzkonform<br />
zertifizierter technischer Einrichtungen, die Erforschung und<br />
Fortentwicklung von datenschutzgerechten Dienstleistungen und<br />
Produkten oder die Integration von <strong>Datenschutz</strong> und Datensicherheit<br />
in Produkten.<br />
Als solche Anstrengungen <strong>im</strong> Rahmen einer zusätzlichen kontinuierlichen<br />
Verbesserung des <strong>Datenschutz</strong>es sind auch Verbesserungen<br />
anzuerkennen, datenschutzrechtliche Zielbest<strong>im</strong>mungen und Opt<strong>im</strong>ierungsgebote<br />
besser zu erfüllen oder Abwägungen stärker zugunsten<br />
des <strong>Datenschutz</strong>es ausfallen zu lassen. Diese Zielsetzungen<br />
und ihre Konkretisierung in Form von Prinzipien für die Systemherstellung,<br />
Systemauswahl, Systemkonfiguration und Anwendung sind<br />
zwar rechtlich vorgegeben und fallen somit unter die Einhaltung von<br />
<strong>Datenschutz</strong>regelungen. Sie können aber <strong>im</strong> Rahmen des <strong>Datenschutz</strong>rechts<br />
mehr oder minder gut erreicht werden. Ihre opt<strong>im</strong>ale Erfüllung<br />
sicherzustellen, sollte eine Hauptfunktion des <strong>Datenschutz</strong>-<br />
Audits sein. 37 . Wer hier einen höheren Aufwand betreibt als andere,<br />
36<br />
37<br />
Dies jedoch unterstellen Drews/Kranz, DuD 1998, 94, und kritisieren diese falsche<br />
Annahme.<br />
S. hierzu für § 3 Abs. 4 TDDSG Bundesrat, BT-Drs. 13/7385, 57;<br />
s. allgemein Roßnagel, DuD 1997, 508.<br />
59
verdient eine Auszeichnung. Insgesamt sollte diese Funktion des<br />
<strong>Datenschutz</strong>-Audits darin gesehen werden, "die Ziele der Dateneinsparung<br />
und eines hohen <strong>Datenschutz</strong>niveaus durch Stärkung der<br />
unternehmerischen Selbstverantwortung, der Transparenz und des<br />
Wettbewerbs zu erreichen". 38<br />
Der konkrete subjektive Maßstab ergibt sich aus der <strong>Datenschutz</strong>politik<br />
und deren Konkretisierung in einem <strong>Datenschutz</strong>programm. Für<br />
die Formulierung der <strong>Datenschutz</strong>politik ist es nicht notwendig, daß<br />
jeder Anbieter die Prinzipien und Leitlinien, denen er sein Unternehmen<br />
verpflichten will, jeweils <strong>im</strong>mer wieder selbst erarbeitet.<br />
Vielmehr wäre dies der geeignete Ort für eine Selbstregulierung der<br />
Branchen. Für den Bereich der Mult<strong>im</strong>ediadienste könnten etwa die<br />
"Prinzipien und Leitlinien zum <strong>Datenschutz</strong> bei Mult<strong>im</strong>ediadiensten"<br />
des Arbeitskreises "<strong>Datenschutz</strong>-Audit Mult<strong>im</strong>edia" als Vorbild dienen.<br />
39 Jeder einzelne Anbieter könnte diese als <strong>Datenschutz</strong>politik<br />
seines Unternehmens übernehmen oder sie seinen spezifischen Verhältnissen<br />
anpassen. Er könnte sie weiter zur Orientierung wählen,<br />
wenn er in seinem <strong>Datenschutz</strong>programm für einen best<strong>im</strong>mten Zeitraum<br />
die Maßnahmen festlegen muß, mit denen er selbstgesteckte<br />
Ziele erreichen will.<br />
Bei der Prüfung des subjektiven Maßstabs ist in der <strong>Datenschutz</strong>betriebsprüfung<br />
zu kontrollieren, ob die <strong>im</strong> <strong>Datenschutz</strong>programm<br />
selbstgesteckten Ziele erreicht werden konnten, festzustellen, an<br />
welchen Gründen eine Erfüllung der Ziele scheiterte, und ein <strong>Datenschutz</strong>programm<br />
für die nächste Audit-Periode aufzustellen. Dieses<br />
<strong>Datenschutz</strong>programm muß ein in sich geschlossenes Konzept enthalten,<br />
wie das <strong>Datenschutz</strong>managementsystem die selbstgewählten<br />
Prinzipien und Leitlinien für den <strong>Datenschutz</strong> umsetzt. Es darf sich<br />
an der individuellen Leistungsfähigkeit der datenverarbeitenden<br />
Stelle ausrichten, muß aber als Entwicklungskonzept einer kontinuierlichen<br />
Verbesserung des <strong>Datenschutz</strong>es überzeugen. Dies festzu-<br />
38<br />
39<br />
S. provet (Fn 9), Begründung zu § 11 des vorgeschlagenen Mult<strong>im</strong>edia-<br />
<strong>Datenschutz</strong>-Gesetzes; ebenso Begründung zu § 17 MDStV; Bachmeier, DuD<br />
1997, 680; Engel-Flechsig, DuD 1997, 15; Vogt/Tauss (Fn 18), 19.<br />
S. die Dokumentation der Prinzipien und Leitlinien in DuD 1999, 285 ff., i.E.; s.<br />
auch und die Prinzipien<br />
und Leitlinien können in der Newsgroup diskutiert<br />
werden.<br />
60
stellen, ist eine Aufgabe des <strong>Datenschutz</strong>gutachters. Ihm kommt daher<br />
eine besondere Bedeutung für die Vertrauenswürdigkeit des gesamten<br />
Auditsystems zu.<br />
7. Verfahren<br />
Das Verfahren des <strong>Datenschutz</strong>-Audits kann weitgehend entsprechend<br />
dem Vorbild des Umweltschutz-Audits best<strong>im</strong>mt werden. In<br />
Anlehnung an dieses sollte das <strong>Datenschutz</strong>-Audit in neun Schritten<br />
durchgeführt werden:<br />
1. Das Unternehmen beginnt das <strong>Datenschutz</strong>-Audit damit, daß es<br />
eine <strong>Datenschutz</strong>prüfung durchführt. Diese erbringt für jeden<br />
Teledienst eine Bestandsaufnahme des Status der Verarbeitung<br />
personenbezogener Daten und des Status geltender <strong>Datenschutz</strong>regeln.<br />
2. Nach dieser Bestandsaufnahme verpflichtet sich der Anbieter<br />
schriftlich zu einer das gesamte Unternehmen betreffenden <strong>Datenschutz</strong>politik.<br />
3. Auf dieser Grundlage erstellt der Anbieter ein <strong>Datenschutz</strong>programm<br />
mit den konkreten <strong>Datenschutz</strong>zielen und dem Katalog<br />
konkreter Maßnahmen und dem Fristenplan zur Umsetzung der<br />
<strong>Datenschutz</strong>politik für die jeweilige Anwendung.<br />
4. Parallel zum <strong>Datenschutz</strong>programm wird ein <strong>Datenschutz</strong>managementsystem<br />
eingerichtet, das die Organisationsstruktur, die Zuständigkeiten<br />
sowie die Verfahren, Abläufe und Mittel zur Verwirklichung<br />
der <strong>Datenschutz</strong>politik festlegt.<br />
5. In periodischen Abständen führt das Unternehmen selbst eine<br />
<strong>Datenschutz</strong>betriebsprüfung als systematische und dokumentierte<br />
Analyse durch, ob Organisation, Management und Betriebsabläufe<br />
mit der <strong>Datenschutz</strong>politik und dem <strong>Datenschutz</strong>programm ü-<br />
bereinst<strong>im</strong>men und die angestrebte Verbesserung des <strong>Datenschutz</strong>es<br />
erreicht haben.<br />
61
6. Als Ergebnis der jeweiligen Betriebsprüfung verfaßt das Unternehmen<br />
eine <strong>Datenschutz</strong>erklärung.<br />
7. Anschließend prüft und zertifiziert ein zugelassener unabhängiger<br />
<strong>Datenschutz</strong>gutachter die <strong>Datenschutz</strong>erklärung.<br />
8. Im Falle einer positiven Validierung durch den externen <strong>Datenschutz</strong>gutachter<br />
wird die <strong>Datenschutz</strong>erklärung veröffentlicht und<br />
an die zuständige Behörde zur Registrierung <strong>im</strong> Verzeichnis der<br />
am <strong>Datenschutz</strong>-Audit teilnehmenden Unternehmen weitergeleitet.<br />
9. Aufgrund der Registrierung ist das Unternehmen berechtigt, eine<br />
Teilnahmeerklärung und ein <strong>Datenschutz</strong>zeichen für Werbezwecke<br />
zu nutzen.<br />
Um die Kosten eines <strong>Datenschutz</strong>-Audits in Grenzen zu halten, bietet<br />
es sich an, die Fachkompetenz <strong>im</strong> eigenen Unternehmen für die<br />
Durchführung des Audits zu nutzen. Vor allem drängt es sich auf,<br />
dem betrieblichen <strong>Datenschutz</strong>beauftragten hierbei eine zentrale<br />
Rolle einzuräumen. 40 Denn zwischen seinen Aufgaben und denen des<br />
<strong>Datenschutz</strong>-Audits bestehen viele Parallelen. 41 Das Unternehmen<br />
muß sich in seiner <strong>Datenschutz</strong>-Politik verpflichten, die einschlägigen<br />
<strong>Datenschutz</strong>-Vorschriften einzuhalten und den <strong>Datenschutz</strong> kontinuierlich<br />
zu verbessern. Die zentrale Aufgabe des betrieblichen<br />
<strong>Datenschutz</strong>beauftragten gemäß § 37 BDSG ist es, die Einhaltung<br />
datenschutzrechtlicher Vorschriften sicherzustellen. 42 Viele Teilaufgaben,<br />
die er in diesem Rahmen zu erfüllen hat, können auch für die<br />
Vorbereitung des Audits und die interne Betriebsprüfung genutzt<br />
werden.<br />
8. Fazit<br />
Das <strong>Datenschutz</strong>-Audit ist ein neues, hoffnungsvolles Instrument des<br />
<strong>Datenschutz</strong>es. Über den Anreiz der Werbung ("Tue Gutes und rede<br />
darüber") und den Wettbewerbseffekt der Teilnahme von Konkur-<br />
40<br />
41<br />
42<br />
Ebenso der Arbeitskreis "<strong>Datenschutz</strong>beauftragte" <strong>im</strong> Verband der<br />
Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.<br />
S. hierzu ausführlich Roßnagel, DuD 1997, 513 f.<br />
S. Engel-Flechsig, DuD 1997, 15; ders., RDV 1997, 67.<br />
62
enten könnte eine Selbstverpflichtung und Selbstkontrolle der Unternehmen<br />
zu einer kontinuierlichen Verbesserung des <strong>Datenschutz</strong>es<br />
genutzt werden. Dadurch könnte die behördliche Kontrolle durch<br />
<strong>Datenschutz</strong>beauftragte und Aufsichtsbehörden unterstützt und entlastet<br />
werden. Eine rechtliche Regelung des <strong>Datenschutz</strong>-Audits versucht,<br />
<strong>im</strong> Rahmen einer Kontextsteuerung das Ziel einer kontinuierlichen<br />
Verbesserung des <strong>Datenschutz</strong>es nicht durch Ge- und Verbote,<br />
sondern mit leichter Hand durch die freiwillige Selbstregulation der<br />
Wirtschaftseinheiten zu erreichen. Die rechtliche Rahmensetzung<br />
schafft die Voraussetzungen für die Zielgerechtigkeit des Verfahrens<br />
und die Vergleichbarkeit der Kriterien und Ergebnisse. Das <strong>Datenschutz</strong>-Audit<br />
ist ein Instrument zur Erfüllung der Strukturverantwortung<br />
des Staates. 43 Dieser könnte er gerecht werden, ohne öffentliche<br />
Haushalte zu belasten. 44<br />
43<br />
44<br />
S. hierzu näher Roßnagel, ZRP 1997, 26 ff.<br />
Soweit öffentliche Aufgaben wie die Zulassung der Gutachter und die Registrierung<br />
der Teilnehmer nicht auf private Träger übertragen werden, können die dadurch<br />
entstehenden Kosten durch Gebühren voll abgedeckt werden.<br />
63
Vorabkontrolle durch behördliche<br />
und betriebliche <strong>Datenschutz</strong>beauftragte<br />
Hansjürgen Garstka<br />
Mit der Vorabkontrolle, die nach Art. 20 der Europäischen <strong>Datenschutz</strong>richtlinie<br />
bei "Verarbeitungen mit spezifischen Risiken für die<br />
Rechte und Freiheiten der Personen" durchgeführt werden muß, erhalten<br />
die behördlichen und betrieblichen <strong>Datenschutz</strong>beauftragten,<br />
aber auch der Bundesbeauftragte und die Landesdatenschutzbeauftragten<br />
sowie die Aufsichtsbehörden neue Aufgaben, die geeignet<br />
sind, sie aus ihrer in letzter Zeit (auch bei dieser Veranstaltung) heftig<br />
kritisierten reaktiven Rolle herauszuführen. Bei der Umsetzung<br />
stellen sich allerdings schwierige, insbesondere die Reichweite und<br />
die einzusetzenden Methoden betreffende Fragen.<br />
Gesetzlicher Ausgangspunkt<br />
Die Vorabkontrolle ist die "kleine Münze" der Auditierung. Es geht<br />
hierbei nicht um die Auszeichnung positiver Aspekte der geplanten<br />
Verarbeitungen, sondern um die Überprüfung, ob sich die Vorhaben<br />
<strong>im</strong> gesetzlich vorgegebenen Rahmen unter Einbeziehung der möglichen<br />
Grundrechtsgefährdungen halten. Im Gegensatz zur "Kür" des<br />
Audits stellt die Vorabkontrolle die Pflichtübung dar.<br />
Nach Art. 20 der Richtlinie legen die Mitgliedsstaaten fest, welche<br />
Verarbeitungen spezifische Risiken für die Rechte und Freiheiten<br />
einer Person beinhalten können und sie tragen dafür Sorge, daß diese<br />
Verarbeitungen vor ihrem Beginn überprüft werden. Die Vorabprü-<br />
64
fungen sind zwar zunächst durch die Kontrollstellen, also den Bundes-<br />
und die Landesbeauftragten bzw. die Aufsichtsbehörden durchzuführen.<br />
Anstelle der Kontrollstellen kann die Vorabkontrolle aber<br />
auch "durch den <strong>Datenschutz</strong>beauftragten" erfolgen, wobei nach der<br />
Diktion der Richtlinie die (internen) betrieblichen und behördlichen<br />
<strong>Datenschutz</strong>beauftragten gemeint sind. Es besteht zwar nach der<br />
Richtlinie keine Verpflichtung, daß nach dem nationalen Recht derartige<br />
interne <strong>Datenschutz</strong>beauftragte zu benennen sind. Da diese<br />
Institutionen jedoch von Deutschland in die Richtlinie eingebracht<br />
wurden, wird es sie nach dem neuen deutschen <strong>Datenschutz</strong>recht<br />
geben, wie <strong>im</strong>mer dieses aussehen wird. Die Kontrollstellen bleiben<br />
ebenfalls nicht unbeteiligt: Die <strong>Datenschutz</strong>beauftragten haben diese<br />
"<strong>im</strong> Zweifelsfall zu konsultieren", und sie werden dies - auch zur<br />
eigenen Absicherung - häufig tun.<br />
Die Vorgabe der Richtlinie ist in den Entwürfen des Bundesinnenministeriums<br />
für das Bundesdatenschutzgesetz in der vergangenen<br />
Legislaturperiode nur auf min<strong>im</strong>alistische Weise umgesetzt worden:<br />
Die §§ 4 d Abs. 6 und 7 BDSG sahen vor, daß nur automatisierte<br />
Dateien nach Abs. 4 und 5 dieser Vorschrift (betrifft nur die Fremdverarbeiter)<br />
und sensible Daten nach Art 8 der Richtlinie (medizinische<br />
Daten, Daten über weltanschauliche Gesinnung bis hin zu Daten<br />
über Sexualverhalten), soweit sie besondere Risiken aufweisen, der<br />
Vorabkontrolle unterliegen sollten.<br />
Der Gesetzentwurf des Abgeordneten Such und der Fraktion Bündnis<br />
90/Die Grünen (Bundestagsdrucksache 13/9082) ging erheblich<br />
weiter und lehnte sich zum Teil an das niedersächsische <strong>Datenschutz</strong>gesetz<br />
an, welches als einziges <strong>Datenschutz</strong>gesetz bereits vor<br />
Inkrafttreten der Richtlinie eine Vorabkontrolle kannte. Dieser Entwurf<br />
sieht die Vorabkontrolle in allen Fällen vor, in denen spezifische<br />
Risiken für die in § 1 Abs. 1 genannten Grundrechte wie die<br />
Privatsphäre und das Recht auf informationelle Selbstbest<strong>im</strong>mung<br />
oder - eine wichtige Ergänzung ohne Vorgabe durch die Richtlinie -<br />
"für die Wirkungsmöglichkeiten demokratischer Organe" bestehen<br />
(§ 20 Abs. 1). Danach hat also die Vorabkontrolle über den Schutz<br />
des Einzelnen hinaus auch den gesellschaftspolitischen Kontext zu<br />
berücksichtigen, in dem das Verfahren stattfindet.<br />
65
Die Vorabkontrolle soll in der Form einer Technikfolgenabschätzung<br />
stattfinden. Die Kontrollinstanz ist in jedem Fall zu beteiligen. Darüber<br />
hinaus sind auch hierfür zugelassene Verbände zur Verwirklichung<br />
der Grundrechte zu beteiligen, wobei die Einbindung dieser<br />
Verbände auch <strong>im</strong> privaten Bereich erfolgen soll. Des weiteren wird<br />
die Veröffentlichung des Ergebnisses und der Begründung durch die<br />
verantwortliche Stelle vorgeschrieben.<br />
Die neuen Landesgesetze, das kürzlich in Kraft getretene hessische<br />
sowie die Entwürfe in Schleswig-Holstein und Brandenburg (Stand<br />
November 1998), enthalten bereits Regelungen zur Vorabkontrolle.<br />
Allerdings ist danach (<strong>im</strong> öffentlichen Bereich, auf den sich die Landesgesetze<br />
beschränken) die Vorabprüfung durch die speichernde<br />
bzw. verantwortliche Stelle selbst durchzuführen. Dies verstößt gegen<br />
die europäische Richtlinie, nach der die Kontrollstelle bzw. der<br />
unabhängige (behördliche) <strong>Datenschutz</strong>beauftragte (Art. 18 Abs. 2,<br />
dritter Anstrich) zuständig ist. In Hessen ist erst das Ergebnis und<br />
dessen Begründung dem behördlichen <strong>Datenschutz</strong>beauftragten zuzuleiten<br />
(der seinerseits "<strong>im</strong> Zweifelsfall" den Hessischen <strong>Datenschutz</strong>beauftragten<br />
zu hören hat), in den Entwürfen von Schleswig-<br />
Holstein und Brandenburg ist er "zu beteiligen", was <strong>im</strong>mer das zu<br />
bedeuten hat.<br />
Bezugspunkt der Vorabkontrolle<br />
Der BDSG-Entwurf 1998 bezieht sich entsprechend der Tradition<br />
des deutschen <strong>Datenschutz</strong>rechts auf Dateien. Diese sind der Vorabkontrolle<br />
zu unterziehen. Das ist allerdings gar nicht durchführbar,<br />
da nicht nur größere Verfahren stets eine Vielzahl von Dateien umfassen<br />
werden. Die Richtlinie spricht dagegen ausdrücklich von<br />
"Verarbeitungen". Damit sind Verfahren gemeint, die in Regel komplex<br />
und in sich abgeschlossen sind und die häufig <strong>im</strong> Rahmen eines<br />
Projektmanagements entwickelt und eingeführt werden. Allerdings<br />
kann sich die Vorabkontrolle auch nicht wie das Audit auf die Gesamtheit<br />
von Verfahren einer best<strong>im</strong>mten Organisationseinheit, wie<br />
etwa ein Krankenhausinformationssystem beziehen. Die Notwendigkeit,<br />
die Vorabkontrolle jeweils durch einen Bericht abzuschließen,<br />
zeigt, daß Gegenstand der Prüfung nicht ein kontinuierlicher Prozeß<br />
sein kann. Vielmehr ist eine Vorabkontrolle bei jeder Systemkompo-<br />
66
nente durchzuführen, die in den Betrieb gehen soll. Be<strong>im</strong> Audit gibt<br />
es diese Schwierigkeit nicht, da dieses gerade auf die kontinuierliche<br />
Beobachtung des gesamten Verfahrensablaufs angelegt ist.<br />
Darüber hinaus gibt es eine weitere Abgrenzungsschwierigkeit: Ein<br />
IuK-Verfahren ist kein monostrukturales Gebilde, es umfaßt vielmehr<br />
<strong>im</strong>mer verschiedene, auf einander aufbauende und ineinander<br />
verwobene Komponenten: Es umfaßt zum einen technische Geräte<br />
wie Großrechner, Netzwerke, PC’s, Bildschirme, Tastaturen oder<br />
Drucker, zum anderen aber die verschiedenen Ebenen der eingesetzten<br />
Software. Häufig wird Standardsoftware genutzt, bei der die einzelnen<br />
Funktionen vom Anwender nicht wirklich durchschaut werden<br />
(ein Beispiel ist die Software von SAP, deren Funktionsweise<br />
kaum einem Anwender bekannt sein dürfte, obwohl sie gerade bei<br />
sensibelsten Anwendungen wie Krankenhaus- und Personalinformationssystemen<br />
zum Einsatz kommt). Hinzu kommen die einzelnen,<br />
vom Benutzer gestalteten Anwendungen; erst hier hat dieser die<br />
Möglichkeit, auf die einzelnen Funktionen Einfluß zu nehmen.<br />
Für die Vorabkontrolle bedeutet dies, daß sie für die einzelnen Komponenten<br />
getrennt zu erfolgen hat. Da die verantwortliche Stelle jedenfalls<br />
bei der eingesetzten Hardware und der Standardsoftware<br />
allenfalls in beschränktem Umfang eine eigene Prüfung durchführen<br />
kann, wird sie sich bei einem Teil der Komponenten auf anderweit<br />
durchgeführte Prüfungen verlassen oder fremden Sachverstand beiziehen<br />
müssen. Daraus folgt, daß die Vorabkontrolle jedenfalls bei<br />
der Masse von Behörden und Unternehmen nicht isoliert vorgenommen<br />
werden kann, sondern Zertifizierungsmechanismen bei Hardund<br />
Software voraussetzt.<br />
Einbezogene Verfahren<br />
Die Richtlinie beschränkt die Verpflichtung zur Vorabkontrolle nicht<br />
auf automatisierte Verfahren. Automatisierte und teilautomatisierte<br />
Verfahren werden zwar ausdrücklich angesprochen, doch aus der<br />
Bezugnahme auf Art. 18 (Meldepflichten) ergibt sich, daß auch<br />
komplexe andere Verfahren gemeint sind. Zu denken wäre etwa an<br />
herkömmliche Meldeverfahren, die noch auf dem Papierweg stattfinden.<br />
Sie werden zwar seltener, existieren aber durchaus noch, wenn<br />
67
wir etwa an das Personal-, Gesundheits- oder Sozialwesen denken.<br />
Daß hier erhebliche Risiken bestehen können, zeigt die oft völlig<br />
ungesicherte Nutzung von Telefax.<br />
Zentrale Bedeutung hat natürlich, welche Verfahren "besondere Risiken"<br />
aufweisen und deshalb einer Vorabkontrolle unterzogen werden<br />
müssen. Als erstes kommt es sicherlich auf die Art der Daten an.<br />
Erwägungsgrund 53 der Richtlinie und auch der BDSG-Entwurf<br />
1998 erwähnen ausdrücklich die sensitiven Daten nach Art. 8 der<br />
Richtlinie. Ein Beispiel sind medizinische Daten. Jede Arztpraxis,<br />
jeder Optiker, jedes Krankenhaus ohnehin, jede Sozialstation, die<br />
hilfsbedürftige Menschen betreut, all diese Einrichtungen müssen<br />
hinsichtlich jeder Form der Datenverarbeitung, auch wenn es sich<br />
nur um einen einfachen PC-Einsatz handelt, eine Vorabprüfung<br />
durchführen. Bezieht man auch die anderen sensitiven Daten ein,<br />
zeigt sich, daß die Verpflichtung zu Vorabkontrollen durchaus nicht<br />
nur ein Randproblem darstellt, sondern eine Vielzahl von verantwortlichen<br />
Stellen betroffen sein wird.<br />
Nach den Erwägungsgründen kommt es auch auf die Tragweite der<br />
Anwendungen an. Beispielsweise wird der Fall angeführt, daß sich<br />
die (öffentliche) Datenverarbeitung auf die gesamte Bevölkerung<br />
bezieht. Auf Unternehmensebene wird man konsequenterweise z.B.<br />
alle Fälle einbeziehen müssen, in denen die Anwendung die gesamte<br />
Belegschaft oder alle Kunden umfaßt.<br />
Hinsichtlich der Zweckbest<strong>im</strong>mung werden die Erwägungsgründe<br />
konkreter und es ist möglich, sich ein deutlicheres Bild zu verschaffen.<br />
Daraus ergibt sich z.B., daß Verfahren, die eine Person von der<br />
Inanspruchnahme eines Rechts, einer Leistung oder einem Vertrag<br />
ausschließen - sämtliche "schwarze Listen", die irgendwo geführt<br />
werden, oder die Wagnisdateien der Versicherungsunternehmen -<br />
vorab kontrolliert werden müssen.<br />
Auch neue Technologien begründen spezifische Risiken. Hier erwähnt<br />
die Richtlinie selbst in den Erwägungsgründen keine besonderen<br />
Voraussetzungen. Zu denken wäre hier an biotechnische Verfahren,<br />
Videoüberwachung, schwer durchschaubare Verarbeitungsmethoden<br />
wie Scoring-Verfahren, Testverfahren, moderne IT-Techniken,<br />
die ein besonderes Fehler- oder Mißbrauchsrisiko aufweisen,<br />
68
oder Verfahren, die die Verknüpfung von Datenbeständen aus verschiedenen<br />
Quellen ermöglichen (vgl. z.B. Dammann/S<strong>im</strong>itis: EG-<br />
<strong>Datenschutz</strong>richtlinie, Erläuterungen 2.2 zu Art. 20). Damit wird die<br />
gesamte Internetnutzung zu einem Risiko, denn die Suchmaschinen<br />
sind ja nichts anderes als eine Umsetzung des Data-Mining-<br />
Gedankens <strong>im</strong> gesamten Internet.<br />
Methoden<br />
Große Probleme wird die Frage aufwerfen, mit welchen Methoden<br />
die Vorabkontrollen durchzuführen sind.<br />
Ein einfacher Weg wäre, davon auszugehen, daß die Vorabkontrolle<br />
nichts anderes als die Risikoanalyse ist, die ohnehin vor der Implementierung<br />
eines automatisierten Verfahrens erfolgen muß, um ein<br />
Sicherheitskonzept zu entwerfen.<br />
Hierfür spräche, daß es bereits handhabbare Vorgaben gibt: So ist <strong>im</strong><br />
Grundschutzhandbuch (für einfache Verfahren) und dem Sicherheitshandbuch<br />
(für komplexere Verfahren) des Bundesamtes für die<br />
Sicherheit in der Informationstechnik gut ausgearbeitet, was bei einer<br />
solchen IT-Sicherheitsanalyse alles niederzulegen und zu ermitteln<br />
ist. Zu berücksichtigen wären dabei z.B. die Risiken höherer Gewalt,<br />
organisatorischer Mängel, menschlichen Fehlverhaltens und technischen<br />
Versagens, vorsätzlichen Handelns. Maßnahmen zur Infrastruktur,<br />
organisatorische Gestaltung personeller Art, Hard- und<br />
Software bis hin zur Notfallvorsorge müssen in die Analyse einbezogen<br />
und bewertet werden, um Verfügbarkeit, Integrität und Vertraulichkeit<br />
sicherzustellen.<br />
Allerdings ist die Risikoanalyse der erste Schritt einer jeden Festlegung<br />
von technisch-organisatorischen Maßnahmen bei einem IuK-<br />
System, sie muß also in jedem Fall und nicht nur be<strong>im</strong> Vorliegen<br />
spezifischer Risiken durchgeführt werden. Vorabkontrolle <strong>im</strong> Sinne<br />
des Art. 20 der Richtlinie muß also mehr bedeuten.<br />
Hierfür spricht auch eine Vorschrift aus dem Berliner Landesrecht:<br />
Nach § 4 des Informationsverarbeitungsgesetzes ist eine Risikoanalyse<br />
bei allen Verfahren durchzuführen, die die allgemeine Verwal-<br />
69
tung betreffen und bei denen die Registermeldung wegen geringer<br />
Sensibilität entfällt. Demnach muß in Berlin eine Vorabkontrolle<br />
gerade nicht bei besonders sensitiven Verfahren, sondern bei Alltagsanwendungen<br />
(Telefonbücher und dgl.) durchgeführt werden.<br />
Trotz der fehlenden Transparenz soll sichergestellt werden, daß die<br />
Vorbedingungen für technisch-organisatorische Maßnahmen auf<br />
jeden Fall erfüllt werden.<br />
Denkbar wäre, die Vorabkontrolle <strong>im</strong> Sinne einer Technik- oder gar<br />
einer Technologiefolgenabschätzung zu verstehen, wie dies <strong>im</strong> bisherigen<br />
niedersächsischen und künftigen schleswig-holsteinischen<br />
Recht vorgesehen ist. Hierfür sind seit vielen Jahren anspruchsvolle<br />
Methoden entwickelt worden. Dies zeigt folgendes Zitat: "Das Idealkonzept<br />
der Technikfolgenabschätzung erhebt den Anspruch, neben<br />
der Früherkennung technologieinduzierter Risiken eine umfassende<br />
Analyse des Spektrums möglicher sozialer, wirtschaftlicher, rechtlicher,<br />
politischer, kultureller, ökologischer Auswirkungen zu leisten,<br />
in der problemorientierten Aufbereitung der Untersuchungsergebnisse<br />
alternative Handlungsoptionen entscheidungsorientiert aufzuzeigen<br />
und zugleich unterschiedliche gesellschaftliche Interessen und<br />
Werturteile, die sich an die Entwicklung und Nutzung neuer Technologien<br />
knüpfen, offen zu legen." (Schuchardt/Wolf: Technikfolgenabschätzung<br />
und Technikbewertung. In: Ropohl/Schuchardt/<br />
Wolf: Schlüsseltexte zur Technikbewertung. Dortmund 1990. S. 19).<br />
Dieser Anspruch zeigt allerdings, daß angesichts der Breite der einzubeziehenden<br />
Verfahren eine methodisch fundierte Technikfolgenabschätzung<br />
<strong>im</strong> Normalfall nicht durchgeführt werden kann. Eine<br />
derartige Verpflichtung würde zu einer völligen Überforderung aller<br />
Beteiligten oder zur Nichtbeachtung der Technikfolgenabschätzung<br />
führen: Man stelle sich vor, in jeder Arztpraxis müßte hinsichtlich<br />
aller eingesetzten Verfahren eine Technikfolgenabschätzung der<br />
einzusetzenden Hard- und Software sowie aller Verfahren, die ins<br />
Ärztenetz der Krankenkassen oder anderer Versorgungsträger eingebunden<br />
werden sollen, durchgeführt werden.<br />
Diese einfache Überlegung zeigt, daß auch jedenfalls eine Technikfolgenabschätzung,<br />
die den bisher entwickelten Kriterien genügt,<br />
allenfalls bei Großverfahren mit gesellschaftlicher Reichweite verlangt<br />
werden kann. Für den Normalfall wird ein Mittelweg gefunden<br />
70
werden müssen, der über die technischen Sicherheitsanforderungen<br />
hinaus den sozialen Kontext berücksichtigt, ohne die Beteiligten vor<br />
unlösbare Aufgaben zu stellen. Zweifellos bietet sich dabei allerdings<br />
an, gewisse methodische Schritte aus dem Repertoire der<br />
Technikfolgenabschätzung einzubeziehen.<br />
Verfahren<br />
Die Richtlinie enthält klare Vorgaben, wer für die Vorabkontrolle<br />
zuständig ist, nämlich die Kontrollstelle oder der (interne) <strong>Datenschutz</strong>beauftragte.<br />
Die BDSG-Entwürfe von 1998 setzten dies konsequent<br />
um, indem der letztere für zuständig erklärt wurde. Wie bereits<br />
erwähnt, verstoßen allerdings die neuen Landesgesetze, die die<br />
datenverarbeitenden Stellen selbst für verantwortlich erklären, gegen<br />
den klaren Wortlaut der Richtlinie.<br />
Zu klären ist der Zeitpunkt der Kontrolle bzw. Beteiligung. Wie bei<br />
der Kontrollstelle ist die Vorabkontrolle wohl "nach der Meldung"<br />
(hier zum internen Register) durchzuführen, nicht festgelegt ist jedoch,<br />
wann die Meldung zu erfolgen hat. Eine solche Festlegung<br />
wäre allerdings sinnvoll. Die Erfahrung der <strong>Datenschutz</strong>beauftragten<br />
zeigt, daß der Zeitpunkt der Meldung für die Beurteilung von großer<br />
Bedeutung ist: Werden die Verfahren zu einem so frühen Zeitpunkt<br />
gemeldet, daß außer Bekenntnissen zur Notwendigkeit des <strong>Datenschutz</strong>es<br />
<strong>im</strong> allgemeinen nichts Konkretes erkennbar ist, ist dies e-<br />
benso wenig sinnvoll wie wenn bereits in allen Details festgelegte<br />
Verfahren gemeldet werden. Im ersten Fall ist eine Vorabkontrolle<br />
noch nicht möglich, <strong>im</strong> zweiten Fall kann nur noch beanstandet werden.<br />
Die Reaktion ist dann notwendigerweise, daß es für Änderungen<br />
leider zu spät sei, bestenfalls daß erst bei der nächsten Version Änderungen<br />
vorgenommen werden könnten. Hier muß der richtige Zeitpunkt<br />
gefunden werden, der eine Einschätzung des Verfahrens ermöglicht,<br />
die noch zu Revisionen führen kann.<br />
Auch die Konsequenzen der Vorabkontrolle sind noch unklar. Die<br />
Erwägungsgründe der Richtlinie lassen offen, ob die Kontrollstellen<br />
bzw. die (behördlichen, betrieblichen) <strong>Datenschutz</strong>beauftragten nur<br />
eine - letztlich unverbindliche - Stellungnahme abgeben können oder<br />
71
ob der Gesetzgeber <strong>im</strong> Sinne der "wirksamen Einwirkungsbefugnisse"<br />
(Art. 20 Abs. 3 der Richtlinie) eine Genehmigungspflicht vorsehen<br />
muß.<br />
Nach Abschluß der Prüfung stellt sich die Frage der Publikation des<br />
Ergebnisses; der BDSG-Entwurf von Bündnis 90/Die Grünen sieht<br />
die Veröffentlichung vor. Im Sinne der Transparenz der Datenverarbeitung<br />
wäre dies sicherlich zu begrüßen. Ungeachtet der Problematik<br />
von Geschäftsgehe<strong>im</strong>nissen, die sich hier zwangsläufig stellt, ist<br />
es allerdings fraglich, ob es Sinn macht, daß jede verantwortliche<br />
Stelle das Ergebnis ihrer Vorabkontrolle (wo eigentlich) veröffentlichen<br />
muß. Auch hier ist eine Differenzierung sinnvoll: So bietet<br />
sich die Publikation in den Fällen an, in denen eine Vorabkontrolle<br />
bei Hardware oder Standardverfahren stattgefunden hat, und deren<br />
Ergebnisse von anderen Stellen übernommen werden könnten. Für<br />
andere, für die Öffentlichkeit besonders wichtige Verfahren ist die<br />
Veröffentlichung ein Mittel der politischen Auseinandersetzung, wie<br />
dies ja auch <strong>im</strong> Entwurf von Bündnis 90/Die Grünen zum Ausdruck<br />
kommt. Eine Kannklausel, die diese Zielrichtung vorgibt, wäre hier<br />
sicherlich sinnvoll.<br />
Für große (in der Regel staatliche, u.U. aber sogar private) Verfahren<br />
kann nach Art. 20 Abs. 3 der Richtlinie die Vorabkontrolle durch den<br />
Gesetzgeber selbst vorgenommen werden. Dies setzt voraus, daß die<br />
parlamentarische Zust<strong>im</strong>mung vom positiven Ergebnis einer solchen<br />
Kontrolle abhängig gemacht wird. Diese könnte bereits von der Regierung<br />
<strong>im</strong> Rahmen einer Gesetzesvorlage vorgenommen oder vom<br />
Parlament selbst in Auftrag gegeben werden: In beiden Fällen bedarf<br />
es entsprechender Geschäftsordnungsregeln. Die Richtlinie läßt auch<br />
Vorabkontrollen <strong>im</strong> Zuge einer auf eine "gesetzgeberische Maßnahme<br />
gestützten Maßnahme" (sic) zu, mithin be<strong>im</strong> Entwurf einer entsprechenden<br />
Rechtsverordnung oder gar nur einer Verwaltungsvorschrift<br />
(z.B. Errichtungsanordnung). Zwar ist hier die Einschaltung<br />
interner <strong>Datenschutz</strong>instanzen nicht vorgeschrieben, es liegt aber<br />
nahe, in diesen Fällen den bzw. bei mehreren beteiligten Stellen die<br />
behördlichen <strong>Datenschutz</strong>beauftragten der Ministerien bzw. nachgeordneten<br />
Behörden einzubeziehen.<br />
72
Konsequenzen<br />
Mit dem Instrument der verbindlichen Vorabkontrolle werden die<br />
behördlichen und betrieblichen <strong>Datenschutz</strong>beauftragten eine Stellung<br />
erhalten, die weit über die bisherigen Aufgaben hinausgeht,<br />
zumal wenn die Genehmigung durch diese Instanzen Rechtmäßigkeitsvoraussetzung<br />
der Datenverarbeitung ist. Sie erhalten die Chance,<br />
jedenfalls bei den unter die Regelung des Art 20 fallenden Verfahren<br />
sich prospektiv an der Entwicklung zu beteiligen. Dies würde<br />
sie stärken und klarmachen, daß sie nicht, wie dies mitunter gesehen<br />
wird, auf eine schlichtende Rolle <strong>im</strong> Einzelfall beschränkt sind.<br />
Vielmehr unterstützt dies diejenigen, die richtigerweise den <strong>Datenschutz</strong><br />
als Qualitätsmerkmal ihrer Produkte entdeckt haben.<br />
Damit verbunden werden muß sowohl bei Behörden und Unternehmen<br />
als verantwortlichen Stellen als auch bei den <strong>Datenschutz</strong>beauftragten<br />
und Aufsichtsbehörden - bei letzteren <strong>im</strong> besonderen Maße -<br />
eine Verbesserung der Ausstattung in jeder Hinsicht. Mit den bisher<br />
zur Verfügung gestellten Mitteln werden sich die Aufgaben nicht<br />
bewerkstelligen lassen.<br />
73
Nutzende und <strong>Datenschutz</strong> <strong>im</strong> Electronic Commerce<br />
- Empirische Befunde und exemplarische<br />
Lösungsansätze der IuK-Industrie 1 -<br />
Georg Schyguda<br />
1. Subjektive Sicherheitsaspekte<br />
Die Entwicklung des Internet hin zu einem globalen virtuellen<br />
Marktplatz mit neuen Chancen für Anbieter, Händler und Verbraucher<br />
beherrscht gegenwärtig die öffentliche Debatte. Eine der wesentlichen<br />
Herausforderungen und zugleich grundlegende Voraussetzung<br />
auf dem Weg zur erfolgreichen Realisierung dieses Szenarios<br />
ist die Schaffung eines Sicherheitskl<strong>im</strong>as in bezug auf das Internet.<br />
Dazu zählen objektive Aspekte wie die Klärung technischer,<br />
ökonomischer und rechtlicher Voraussetzungen sowie deren Implementierung<br />
ebenso wie die Erlangung eines subjektiven Sicherheitsempfindens<br />
bei allen beteiligten Akteuren. Letzteres bildete ein<br />
Schwerpunktthema der hier vorgestellten Umfrage und steht <strong>im</strong><br />
Mittelpunkt meiner Ausführungen. 2<br />
1<br />
2<br />
Teilaspekte der hier vorgestellten Ergebnisse wurden <strong>im</strong> Rahmen eines durch<br />
das Technologiezentrum Darmstadt der Deutschen Telekom AG beauftragten<br />
Forschungsprojektes durch das Fraunhofer Institut Systemtechnik und Innovationsforschung,<br />
Abteilung Informations- und Kommunikationssysteme sowie<br />
dem Südwestfunk, Abteilung Medienforschung <strong>im</strong> Jahre 1997 erhoben.<br />
Mein Dank gilt hier besonders den Herren Sven Kornetzky und Peter Zoche.<br />
Die WWW-basierte Umfrage erfolgte <strong>im</strong> Oktober/November 1997 und wurde<br />
von 691 Teilnehmern beantwortet, zeitgleich wurde eine Telefoninterviewaktion<br />
mit 1000 repräsentativen Online-Nutzerinnen und -Nutzern (Quotierung:<br />
74
In einer Eingangsfrage wurden die Teilnehmer gebeten, die Sicherheit<br />
bei der Übermittlung vertraulicher Daten durch verschiedene<br />
Medien zu beurteilen. Die Ergebnisse dieser Frage unterstreichen,<br />
daß gegenwärtig sehr wenig Vertrauen in die neuen Mediennutzungen<br />
E-Mail und WWW gesetzt wird, Abbildung 1.1. Im Vergleich zu<br />
den etablierten Kommunikationsformen wird <strong>im</strong> Hinblick auf die<br />
sichere und unverfälschte Übertragung bzw. Weiterleitung von vertraulichen,<br />
für einen Kaufvorgang relevanten Informationen ein<br />
deutlich geringeres Sicherheitsempfinden zum Ausdruck gebracht.<br />
So empfinden lediglich 22% der repräsentativ Befragten das WWW<br />
als sehr bzw. ziemlich sicheres Übertragungsmedium <strong>im</strong> Vergleich<br />
zu 57% bei brieflicher Übermittlung.<br />
Unter den Teilnehmern der netzbasierten Umfrage ist diese Sicherheitsbewertung<br />
noch erheblich stärker zu ungunsten der neuen Medien<br />
ausgeprägt bei gleichzeitig positiverer Bewertung traditioneller<br />
Verfahren (Brief, Telefon, Fax).<br />
Generell gilt, daß mit zunehmender Online-Erfahrung auch die<br />
subjektive Bewertung der Sicherheit kritischer gesehen wird. Sind<br />
es beispielsweise unter den Teilnehmern mit vergleichsweise geringer<br />
Online-Erfahrung (weniger als 1 Jahr) noch 44%, die eine Ü-<br />
bermittlung per E-Mail als sehr bzw. ziemlich sicher einstufen, so<br />
n<strong>im</strong>mt diese Zust<strong>im</strong>mungsquote auf 29% bei den Teilnehmern ab,<br />
die 4 und mehr Jahre Online-Erfahrung aufweisen. Mit der Dauer<br />
der Online-Erfahrung wird zudem der Abstand zu konventionellen<br />
Übermittlungsverfahren größer, Tabelle 1.1.<br />
ABL/NBL = 87.5%/12.5% (VUMA 97/1)) geführt, um statistisch valide Daten<br />
zu generieren. Die Erhebung erfolgte <strong>im</strong> Auftrag der Deutschen Telekom AG,<br />
Technologiezentrum Darmstadt und wurde vom Fraunhofer Institut Systemtechnik<br />
und Innovationsforschung, Abteilung Informations- und Kommunikationssysteme<br />
sowie dem Südwestfunk, Abteilung Medienforschung maßgeblich<br />
durchgeführt.<br />
75
Abbildung 1.1: Sicherheitsempfinden bei der Übermittlung vertraulicher<br />
Informationen<br />
Sicherheitsempfinden bei der Übermittlung vertraulicher Daten<br />
90<br />
83<br />
80<br />
67<br />
sehr/ ziemlich sicher in Prozent<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
57<br />
48<br />
57<br />
44<br />
31<br />
35<br />
18<br />
22<br />
10<br />
0<br />
Brief Telefon Fax E-Mail WWW<br />
WWW-Umfrage (n=570)<br />
Telefon-Umfrage (n=1000)<br />
Tabelle 1.1: Sicherheitsempfinden bei der Übermittlung vertraulicher<br />
Daten in Abhängigkeit der Online-Erfahrung (Telefon-Umfrage)<br />
Medium<br />
sehr/ziemlich sicher [%]<br />
Beginn der Online-Nutzung<br />
vor bis<br />
1 Jahr<br />
vor 1 bis<br />
unter<br />
2 Jahren<br />
vor 2 bis<br />
unter<br />
4 Jahren<br />
vor 4 Jahren<br />
und mehr<br />
Brief 48 50 63 60<br />
Telefon 48 49 47 48<br />
Fax 43 42 47 43<br />
E-Mail 44 34 34 29<br />
WWW 27 23 22 15<br />
Vor dem Hintergrund einer negativen Sicherheitsbewertung kommt<br />
der Möglichkeit der Verschlüsselung von Daten eine hohe Bedeutung<br />
zu. Es gibt eine Vielzahl entsprechender Softwareprogramme,<br />
76
die durch Anwendung kryptographischer Verfahren Daten während<br />
der Übertragung in offenen Netzen vor Mißbrauch oder Verfälschung<br />
schützen können. Solche Tools sind teilweise bereits Bestandteil<br />
von E-Mail-Programmen und WWW-Browsern. Daneben<br />
gibt es mehrere, zum Teil frei erhältliche Programme zur Verschlüsselung,<br />
z. B. PGP 3 .<br />
Abbildung 1.2 zeigt, daß solche Verschlüsselungsverfahren bei<br />
einem großen Teil der Online-Nutzer noch unbekannt sind und nur<br />
von wenigen Befragten bereits genutzt wurden. Bekanntheits- und<br />
Nutzungsgrad steigen allerdings mit zunehmender Online-<br />
Erfahrung.<br />
Abbildung 1.2: Bekanntheitsgrad und Nutzung von Verschlüsselungsarten<br />
Verschlüsselungsarten<br />
100%<br />
90%<br />
7 8 9<br />
16<br />
20<br />
14<br />
80%<br />
70%<br />
45<br />
40<br />
34<br />
60%<br />
51<br />
47<br />
47<br />
50%<br />
40%<br />
30%<br />
20%<br />
47<br />
52<br />
57<br />
33 33<br />
39<br />
10%<br />
0%<br />
Verschlüsselung<br />
<strong>im</strong> E-Mail-<br />
Programm<br />
Verschlüsselung<br />
<strong>im</strong> WWW-<br />
Browser<br />
Andere<br />
Verschlüsselung,<br />
z.B. PGP<br />
Verschlüsselung<br />
<strong>im</strong> E-Mail-<br />
Programm<br />
Verschlüsselung<br />
<strong>im</strong> WWW-<br />
Browser<br />
Andere<br />
Verschlüsselung,<br />
z.B. PGP<br />
Telefon-Umfrage (n=1000)<br />
WWW-Umfrage (n=562)<br />
unbekannt weiß nur, daß es das gibt schon genutzt<br />
3<br />
Pretty Good Privacy ist ein Verschlüsselungsprogramm zur sicheren Übertragung<br />
elektronischer Post. "Es verwendet IDEA zur Datenverschlüsselung, RSA<br />
(mit Schlüsseln bis zu 2047 Bit) zur Schlüsselverwaltung und für digitale<br />
Signaturen sowie MD5 als Einweghashfunktion." Quelle: Bruce Schneier: Angewandte<br />
Kryptographie. Addison-Wesley, Bonn 1996, S. 664-667. PGP ist als<br />
Freeware (ausschließlich für den privaten Gebrauch) oder als kostenpflichtige<br />
Software für verschiedene Plattformen beispielsweise zu beziehen von<br />
.<br />
77
Insgesamt ist festzuhalten, daß das Sicherheitsniveau <strong>im</strong> Internet als<br />
niedrig eingeschätzt wird. Gleichzeitig kann ein Informationsdefizit<br />
<strong>im</strong> Hinblick auf Maßnahmen, die der Erhöhung dieser Sicherheit<br />
dienen, festgestellt werden. Andererseits zeigen die Umfragedaten,<br />
daß die diesbezügliche Informiertheit per se keinen Einfluß auf die<br />
Nutzung solcher Maßnahmen hat; dies könnte daran liegen, daß die<br />
Installation und die Anwendung dieser Programme als zu komplex<br />
und wenig nutzerfreundlich angesehen wird. Diese Einschätzung<br />
könnte auch erklären, daß unter den (wenigen) Nutzern kryptographischer<br />
Verfahren die generelle Sicherheitsbewertung von<br />
WWW und E-Mail nicht positiver ausfällt.<br />
Be<strong>im</strong> Aufruf einer beliebigen WWW-Seite werden grundsätzlich<br />
verschiedene personengebundene, zum Teil vertrauliche Informationen<br />
über den Internet-Nutzer an den Inhalteanbieter weitergeleitet.<br />
Dieser Umstand ist ein Aspekt, weshalb die Sicherheit des<br />
WWW als gering bewertet wird. Gleichwohl sind ein Drittel der<br />
repräsentativ Befragten der - irrtümlichen - Auffassung, daß keine<br />
Angaben gespeichert werden können.<br />
Die in der netzbasierten Umfrage Befragten sind hier realistischer:<br />
nur 5 % fühlen sich bei der Netznutzung unbeobachtet, Abbildung<br />
1.3. Generell läßt ihr Antwortverhalten erkennen, daß sie über<br />
die grundsätzlichen Möglichkeiten, sich durch best<strong>im</strong>mte Browser-<br />
Einstellungen vor einer Kontrolle des Anbieters zu schützen, besser<br />
informiert sind.<br />
78
Abbildung 1.3: Verfügbare Informationen des WWW-Seiten-Anbieters<br />
über den Aufrufenden<br />
Welche Informationen kann der Anbieter einer WWW-Seite über den Aufrufenden erfahren<br />
100<br />
97<br />
90<br />
85<br />
80<br />
66<br />
73<br />
70<br />
57<br />
61<br />
Prozent<br />
60<br />
50<br />
40<br />
33<br />
50<br />
40<br />
54 52<br />
37<br />
30<br />
24<br />
22<br />
20<br />
20<br />
10<br />
5<br />
12<br />
7<br />
0<br />
Keinerlei<br />
Informationen<br />
Datum/Uhrzeit<br />
Aufruf<br />
Browsername<br />
Rechnername/-<br />
adresse<br />
Typ des<br />
Betriebssystems<br />
E-Mail-Adresse<br />
Personenname<br />
Firmenanschrift<br />
Privatanschrift<br />
WWW-Umfrage (n=570)<br />
Telefon-Umfrage (n=1000)<br />
Die Repräsentativumfrage zeigt, daß die Informiertheit über eine<br />
mögliche Datenspeicherung während eines Seitenaufrufs mit größerer<br />
Online-Erfahrung und höherer Schulbildung tendenziell zun<strong>im</strong>mt,<br />
Abbildung 1.4.<br />
79
Abbildung 1.4: Informationsspeicherung bei WWW-Seitenaufruf<br />
versus Online-Erfahrung und höchstem Bildungsabschluß<br />
(Telefon-Umfrage)<br />
Kann der Anbieter einer WWW-Seite grundsätzlich Informationen über den Nutzer dieser Seite erfahren<br />
(Telefon-Umfrage)<br />
45<br />
41<br />
Beginn der Online-Nutzung<br />
43<br />
Höchster Bildungsabschluß<br />
Online-Nutzer, die mit Nein antworteten in Prozent<br />
40<br />
35<br />
30<br />
25<br />
20<br />
15<br />
10<br />
35<br />
31<br />
28<br />
37<br />
36<br />
24<br />
5<br />
0<br />
vor bis 1 Jahr 1 bis unter 2<br />
Jahre<br />
2 bis unter 4<br />
Jahre<br />
4 Jahre und<br />
mehr<br />
Volks-<br />
/Hauptschule<br />
Mittlere Reife (Fach)Abitur Hochschulstudiu<br />
m<br />
Im Zusammenhang mit der derzeit geführten Kryptographiedebatte<br />
und den dabei diskutierten Ansätzen zur Gewährleistung von A-<br />
nonymität bei der Kommunikation in offenen Netzen wurde nach<br />
der Bekanntheit dieser Ansätze (nur WWW-Umfrage 4 ) und den Präferenzen<br />
der Nutzer gefragt. Abbildung 1.5 zeigt die Ergebnisse auf<br />
diese Frage in beiden Befragungsarten.<br />
Unter den repräsentativ Befragten tendieren mehr als die Hälfte zu<br />
einer bedingt aufhebbaren Anonymität. In diesem Falle erfolgt die<br />
Kommunikation beispielsweise über Pseudonyme. Dabei kann die<br />
Identität der Kommunikationsteilnehmer nur mit dem Einverständnis<br />
aller Akteure offengelegt werden. Immerhin rund ein Drittel<br />
spricht sich für das stark umstrittene Konzept des bei einer staatli-<br />
4<br />
Aus methodischen Gründen konnte eine entsprechende Frage nur bei der<br />
schriftlichen, netzbasierten Umfrage gestellt werden; 90% aller Befragten gaben<br />
an, die verschiedenen Anonymitätsansätze zu kennen.<br />
80
chen Stelle (z. B. Staatsanwaltschaft, Polizei) hinterlegten Zentralschlüssels<br />
aus. Dabei sinkt dieser Anteil mit zunehmender Online-<br />
Erfahrung und höherer Schulbildung der Befragten zugunsten der<br />
bedingt aufhebbaren Anonymität. Eine Minderheit von 15% spricht<br />
sich für eine völlige Anonymität ohne jedwede Rückverfolgungsmöglichkeit<br />
durch Kommunikationspartner oder durch Dritte aus.<br />
Demgegenüber zeichnet sich bei den Teilnehmern der WWW-<br />
Umfrage keine klare Präferenz für einen best<strong>im</strong>mten Ansatz ab. Interessant<br />
ist jedoch, daß die beiden <strong>im</strong> Hinblick auf Privacy gegensätzlichsten<br />
Positionen - völlige Anonymität versus Zentralschlüssel<br />
- die größte Zust<strong>im</strong>mung erhalten.<br />
Abbildung 1.5: Geeignetheit diverser Anonymitätsformen<br />
Geeignetste Form der Gewährleistung von Anonymität<br />
100%<br />
90%<br />
80%<br />
34<br />
32<br />
70%<br />
60%<br />
50%<br />
28<br />
40%<br />
52<br />
30%<br />
20%<br />
34<br />
10%<br />
0%<br />
WWW-<br />
Umfrage<br />
(n=496)<br />
15<br />
Telefon-<br />
Umfrage<br />
(n=1000)<br />
Anonymität durch Zentralschlüssel aufhebbar<br />
Anonymität aufhebbar bei gegenseitigem Einverständnis<br />
Völlige Anonymität (Rückverfolgung ausgeschlossen)<br />
Zusammenfassend läßt sich sagen, daß die Mehrheit der Online-<br />
Nutzer gut über Sicherheitsprobleme <strong>im</strong> Internet informiert ist. Die<br />
Gewährleistung von Sicherheit wird als sehr gering eingestuft. Eine<br />
Erhöhung des subjektiven Sicherheitsempfindens kann durch einen<br />
Abbau vorhandener Informationsdefizite über den Einsatz kryp-<br />
81
tographischer Verfahren gefördert werden. Die Anwendung dieser<br />
Techniken erfolgt zur Zeit nur marginal, ihr verstärkter Einsatz<br />
sollte die künftige Inanspruchnahme von Online-Diensten - insbesondere<br />
in sicherheitssensitiven Bereichen - positiv st<strong>im</strong>ulieren.<br />
2. Elektronischer Handel und elektronischer Zahlungsverkehr<br />
Eine zunehmende Verbreitung des elektronischen Handels wird<br />
neben der individuell empfundenen Sicherheit während des Kaufvorgangs<br />
wesentlich von der Bereitstellung attraktiver Angebote und<br />
sicherer elektronischer Zahlungssysteme abhängen. In den beiden<br />
vorliegenden Umfragen wurden die Ansichten der Online-Nutzerinnen<br />
und -Nutzer zur Bekanntheit und Akzeptanz verschiedener Internet-Zahlungssysteme<br />
und der bisherigen Verbreitung des Interneteinkaufs<br />
erfragt. Die entsprechenden Antworten stehen <strong>im</strong> Blickpunkt<br />
dieses Abschnittes.<br />
Internet und Online-Dienste können ein zusätzlicher, für Hersteller,<br />
Händler und Anbieter attraktiver Vertriebsweg herkömmlicher Produkte<br />
sein. In diesem Fall erfolgen Auswahl und Bestellung eines<br />
Artikels sowie gegebenenfalls die Bezahlung über das Internet, während<br />
die Auslieferung der Ware auf traditionellem, d. h. postalischem<br />
Wege vonstatten geht. Eine völlig neue Qualität erreicht das<br />
Netzgeschäft darüber hinaus durch die wachsende Möglichkeit, einzelne<br />
Produkte bzw. Produktgruppen zu <strong>im</strong>materialisieren und somit<br />
physische Distributionswege durch elektronische zu ersetzen. In diesem<br />
Fall können Produkte durch das Internet nicht nur bestellt, sondern<br />
auch ausgeliefert werden.<br />
Zum gegenwärtigen Zeitpunkt werden Handelstransaktionen über<br />
das Internet vorrangig noch mittels traditioneller Bezahlungsformen<br />
(z. B. per Rechnung, Scheck oder Nachnahme) abgewickelt.<br />
Daneben wurde die Zahlung per Kreditkarte für das Internet adaptiert.<br />
Die Kreditkartendaten wurden dabei zunächst unverschlüsselt,<br />
in zunehmendem Maße aber auch verschlüsselt an den Zahlungsempfänger<br />
übermittelt. Der Bekanntheitsgrad sowie die Akzeptanz<br />
dieser beiden Ansätze sowie von sogenanntem elektronischem<br />
Bargeld sind in Abbildung 2.1 dargestellt. Sehr deutlich kommt die<br />
ablehnende Haltung der Online-Nutzerinnen und -Nutzer gegenüber<br />
82
der unverschlüsselten Übermittlung der Kreditkartendaten als Resultat<br />
fehlender Sicherheit zum Ausdruck (89% - Repräsentativerhebung,<br />
86% - Netzumfrage). Auf die größte Akzeptanz stößt demgegenüber<br />
die Kreditkartenzahlung für den Fall, daß die Datenübertragung<br />
in verschlüsselter Form erfolgt (76% - Repräsentativerhebung,<br />
54% - Netzumfrage). Hier kann davon ausgegangen werden,<br />
daß die Vertrautheit der Verbraucher mit dem System Kreditkarte<br />
eine nicht unwesentliche Rolle spielt. Interessant ist ferner der<br />
hohe Bekanntheitsgrad sowie die hohe Akzeptanz des noch recht<br />
neuen Konzepts des elektronischen Bargelds bei solchen Befragten,<br />
die entweder bereits eine Internetzahlung getätigt haben oder hierzu<br />
grundsätzlich bereit wären.<br />
Abbildung 2.1: Bekanntheitsgrad und Akzeptanz ausgewählter gegenwärtiger<br />
Internetzahlungssysteme<br />
In Frage kommende Internetzahlungsarten<br />
100%<br />
90%<br />
4 6<br />
27<br />
0 0<br />
24<br />
11<br />
80%<br />
70%<br />
40<br />
30<br />
60%<br />
50%<br />
86<br />
30<br />
89<br />
40%<br />
76<br />
30%<br />
54<br />
59<br />
20%<br />
43<br />
10%<br />
10<br />
11<br />
0%<br />
Kreditkarte,<br />
unverschlüsselt<br />
(n=451)<br />
Kreditkarte,<br />
hlü lt<br />
(n=455)<br />
WWW-Umfrage<br />
Elektronisches Bargeld<br />
(n=460)<br />
Kreditkarte,<br />
unverschlüsselt<br />
(n=448)<br />
Kreditkarte,<br />
verschlüsselt<br />
(n=448)<br />
Telefon-Umfrage<br />
Elektronisches Bargeld<br />
(n=448)<br />
schon genutzt bzw. käme in Frage käme nicht in Frage unbekannt<br />
83
3. Lösungsansätze der Iuk-Industrie<br />
Die <strong>im</strong> Kontext von "e-commerce" 5<br />
auf dem "Cyber-Marktplatz"<br />
anzutreffenden Akteure sind hinsichtlich der verschiedenen Regulierungsinitiativen,<br />
technischen und ökonomischen Unwägbarkeiten in<br />
der klassischen Situation entweder<br />
1. einen neu entstehenden Dienstleistungsbereich unter dem Aspekt<br />
des laissez-faire entstehen zu lassen oder<br />
2. <strong>im</strong> öffentlichen Recht befindliche Regulatorien teilweise zu internationalisieren<br />
und hinsichtlich ihrer Anwendbarkeit auf das<br />
Internet zu überprüfen.<br />
Abbildung 3.1: Akteure auf elektronischen Marktplätzen<br />
Marktakteure bei Electronic Commerce<br />
Unternehmen<br />
öffentliche<br />
Verwaltung<br />
Private<br />
Verbraucher<br />
Quelle: Sacher-Report, OECD<br />
5<br />
Hinsichtlich der <strong>im</strong> WWW getätigten Umsätze <strong>im</strong> Vergleich zu herkömmlichen<br />
Handelsdaten steckt der "e-commerce" <strong>im</strong> Augenblick sicherlich noch in den<br />
Kinderschuhen.<br />
84
Der erste Lösungsansatz birgt die Problematik in sich, daß durch<br />
bekannt werdende einzelne Fälle von Datenmißbrauch (etwa<br />
E-Mail-Adressenhandel) durch Anbieter vom kommerziellen<br />
Diensten <strong>im</strong> Internet der gesamte Internet-Handel bei den Verbraucherinnen<br />
und Verbrauchern in Mißkredit gerät (siehe hierzu auch<br />
Boston Consulting Group, in : Red Herring 2/98) und sich vielversprechende<br />
Wachstumsprognosen aus Sicht der IuK-Industrie und<br />
des Einzelhandels nicht kurz- bis mittelfristig realisieren lassen.<br />
Der zweite Aspekt beinhaltet die Option, den Bereich e-commerce<br />
zusätzlich durch freiwillige Selbstverpflichtungen zu regulieren und<br />
somit zusätzlich zu den weitergehenden staatlichen Regulierungen<br />
aus unternehmens- und anwendungsspezifischer Sicht kurzfristig<br />
umsetzbare Konzepte hinzuzufügen, die in der Lage sind, den heutigen<br />
nationalstaatlichen <strong>Datenschutz</strong>gesetzen Rechnung zu tragen.<br />
Eine auch von der Deutschen Telekom AG favorisierte Möglichkeit,<br />
zur Beförderung des e-commerce <strong>im</strong> Sinne aller Beteiligten aus datenschutzrechtlicher<br />
und ökonomischer Sicht konstruktiv beizutragen,<br />
besteht <strong>im</strong> Eingehen freiwilliger Verpflichtungen - "codes of<br />
conduct". Abschließende, quasi "monolithische" staatliche Regelungen<br />
sind nach Ansicht unseres Unternehmens durch die Innovationsgeschwindigkeit<br />
und -fülle (technologische Innovationen und<br />
neue Geschäftsmodelle) <strong>im</strong> Bereich des Internet-basierten e-commerce<br />
nicht zielführend. Vielmehr wird sich unter den Nutzerinnen<br />
und Nutzern sehr bald ein auch subjektiv meßbares, aber auch objektiv<br />
begründbares Gefühl der Sicherheit bei der Nutzung von<br />
e-commerce Dienstleistungen einstellen, wenn sie vermehrt durch<br />
ernstzunehmende Initiativen - wie sie auch die freiwillige Selbstverpflichtung<br />
von Unternehmen zur "Datensparsamkeit" darstellt - auf<br />
ihre Belange und Rechte zugeschnittene Online-Dienstleistungen<br />
kennen- und nutzen lernen.<br />
Um eine Betrachtung internationaler Initiativen anzuschließen werden<br />
<strong>im</strong> folgenden exemplarisch die "codes of conduct" der US-<br />
85
amerikanischen Initiative "e-trust" dargestellt, die von namhaften<br />
Unternehmen bei den jeweiligen unternehmensspezifischen WEB-<br />
Auftritten berücksichtigt werden. 6<br />
Gründe für die Etablierung der non-profit-organisation e-trust sind<br />
vor allem folgende, hier exemplarisch durch die Untersuchung der<br />
Boston Consulting Group dargestellten Einstellungen von WWW-<br />
Nutzerinnen und -Nutzern zu "privacy-policies":<br />
Abbildung 3.2: Boston Consulting Group in: The Red Herring, 3/98<br />
BARRIERS TO REGISTRATION<br />
Why Web users refuse to supply personal information<br />
online (%)<br />
How the collected information will be used is not specified<br />
clearly 69.3<br />
Gaining access to the site is not worth revealing the information<br />
64.5<br />
The sites collecting information are thought to be untrustworthy<br />
62.0<br />
Don't want to reveal postal address 44.5<br />
Takes too long to complete the form 42.4<br />
Don't want to reveal name 31.3<br />
Don't want to reveal e-mail address 25.5<br />
6<br />
Sicherlich ist diese freiwillige Selbstverpflichtungsinitiative auch ein Resultat<br />
der sich stark von der bundesrepublikanischen <strong>Datenschutz</strong>gesetzgebung abhebenden<br />
Gegebenheiten des US-amerikanischen Rechtssystems.<br />
86
Abbildung 3.3: Freiwillige Selbstbeschränkung bei "e-trust"<br />
Wie entsteht Vertrauen <strong>im</strong> Cyberspace<br />
z.B. durch freiwillige Selbstbeschränkung<br />
is an independent, non-profit,<br />
privacy initiative dedicated to building users' trust and confidence<br />
on the Internet, and in so doing, accelerating growth of the Internet<br />
industry.<br />
We've developed a privacy program that bridges the gap between<br />
users' concerns over privacy and Web sites' desire for flexible<br />
disclosure standards. Our program is backed by a multi-faceted<br />
assurance process that establishes Web site credibility, which allows<br />
users to be more comfortable offering accurate personal information<br />
and making purchases online (http://www.etrust.org/).<br />
Die Aufklärung von Nutzerinnen und Nutzer über die Datenspeicherung<br />
und -weiterverarbeitung durch spezifische Anbieter von e-<br />
commerce-Lösungen ist sicherlich nur ein Baustein zur Erlangung<br />
von subjektiv empfundener, objektiv meßbarer und ökonomisch<br />
vertretbarer Sicherheit <strong>im</strong> WWW. Die Genese dieses soziotechnischen<br />
Systems und der darin - national wie international getätigten<br />
rechtsverbindlichen Transaktionen - wird sicherlich zusätzlich stark<br />
durch folgende Faktoren beeinflußt werden:<br />
1. Sich selbst organisierende Nutzerinnen und Nutzer-Initiativen<br />
mit Verbraucherschutz-Charakter (newsgroups zu "best practices"<br />
wie dem o.g. privacy-Programm oder der Brandmarkung<br />
von "schwarzen Schafen" hinsichtlich Bedienbarkeit und Datensparsamkeit).<br />
2. Die Entscheidung der Teilnehmerinnen und Teilnehmer über die<br />
Teilnahme am e-commerce ist nur partiell technikorientiert,<br />
vielmehr werden auch in Zukunft die Attraktivität der zur Verfügung<br />
stehenden Produkte und Dienstleistungen und<br />
3. bestehende Bankbeziehungen (bezüglich elektronischer Zahlungssysteme)<br />
eine große Rolle spielen.<br />
87
Informationszugang und <strong>Datenschutz</strong><br />
Herbert Burkert<br />
1. Elemente des Informationszugangs<br />
Die Zeichen mehren sich. Großbritannien als bisher stärkste Bastion<br />
in der Verteidigung des Amtsgehe<strong>im</strong>nisses hat seit dem Amtsantritt<br />
von Premierminister Blair einen Gesetzesentwurf über den Informationszugang<br />
in Arbeit. Damit wird die Bundesrepublik zusammen<br />
mit Luxemburg bald zu den einzigen Mitgliedsstaaten der Union gehören,<br />
die auf nationaler Ebene noch über kein allgemeines Informationszugangsgesetz<br />
verfügen.<br />
Der Europäische Gerichtshof legt in - man darf nun sagen - ständiger<br />
Rechtsprechung die Beschlüsse des Rates und der Kommission sowie<br />
den dazu gehörenden Verhaltenskodex zum Zugang zu Informationen<br />
der Union extensiv aus und verlangt gleichzeitig von diesen<br />
Stellen eine detaillierte Subsumtion, wenn Ausnahmen gemacht werden<br />
sollen. Ein Grünbuch der Union zu diesem und damit verwandten<br />
Themen steht unmittelbar bevor. Im Amsterdamer Vertrag haben<br />
Transparenzelemente ihren festen Platz.<br />
Als erstes Bundesland hat Brandenburg nach einem nicht <strong>im</strong>mer einfachen<br />
Weg dem Gebot der eigenen Verfassung Folge geleistet und<br />
ein allgemeines Akteneinsichts- und Informationszugangsgesetz erlassen.<br />
Auch die Koalitionsvereinbarung der neuen Bundesregierung<br />
scheint deutlich: Ein Informationszugangsgesetz in Deutschland,<br />
auch auf Bundesebene, ist keine Frage mehr des Ob, sondern allenfalls<br />
des Wie und Wann.<br />
88
Die notwendigen Bausteine eines solchen Gesetzes will ich ganz<br />
kurz in Erinnerung rufen - seit zwanzig Jahren sind sie bekannt, als<br />
sich Deutschland der entsprechenden Empfehlung des Ministerrates<br />
des Europarates angeschlossen hatte:<br />
- Informationszugangsgesetze schaffen ein voraussetzungsloses,<br />
effektiv umzusetzendes Recht auf Zugang;<br />
- auf der Basis der Gleichheit;<br />
- mit Ausnahmen, soweit sie in einer demokratischen Gesellschaft<br />
für den Schutz der legit<strong>im</strong>en öffentlichen und privaten<br />
Interessen notwendig sind;<br />
- ein Recht, über das in angemessener Zeit zu entscheiden ist,<br />
- dessen jeweilige Ablehnung angemessen begründet und gerichtlich<br />
überprüfbar sein muß.<br />
In meinem heutigen Beitrag zu diesem Thema möchte ich darlegen,<br />
- daß sich ein solcher Schritt zwangsläufig aus der auf Komplementarität<br />
angelegten <strong>Datenschutz</strong>ordnung ergibt,<br />
- daß dabei auftretende Gestaltungsaufgaben <strong>im</strong> Sinne dieser<br />
funktionalen Komplementarität lösbar sind.<br />
Ich werde exemplarisch auf einige dieser Lösungen verweisen. Dies<br />
sind für mich Bauprobleme der sich entwickelnden Informationsordnung.<br />
Ich werde weiter darlegen, daß gegenwärtig diskutierte Lösungskonzepte<br />
- wie der internationale Vergleich zeigt - einige Folgeprobleme<br />
mit sich bringen werden, die nach Möglichkeit bereits<br />
jetzt in einer bundesdeutschen Regelung mitbedacht werden sollten.<br />
Das sind für mich Probleme der Bewohnbarkeit der Informationsordnung.<br />
Und abschließend werde ich darauf hinweisen, daß<br />
<strong>Datenschutz</strong> und Informationszugang mit ihrem Aktionensystem und<br />
ihrer institutionellen Einbettung nur Teil eines umfassenderen Aufgabenspektrums<br />
sind, Aufgaben, die sich vor allem an den Gesetzgeber<br />
richten. Diese Probleme nenne ich die Siedlungsprobleme unserer<br />
Informationsordnung.<br />
89
2. Informationszugang als notwendige Ergänzung der <strong>Datenschutz</strong>ordnung<br />
Der wesentliche Beitrag, den die deutsche Diskussion zur Entwicklung<br />
des <strong>Datenschutz</strong>konzeptes geleistet hat, lag in der Betonung des<br />
Selbstbest<strong>im</strong>mungselementes. Dieses Selbstbest<strong>im</strong>mungselement ergänzt<br />
das "right to be left alone" angelsächsischer Prägung, den<br />
skandinavischen Versuch administrativer Bewältigung technologischer<br />
Veränderung durch Administration, und das französische Konzept:<br />
Wenn die Privatsphäre angerührt wird, werden alle bürgerlichen<br />
Freiheiten angerührt: Informatique et Libertés. Informationelle<br />
Selbstbest<strong>im</strong>mung verweist dabei unmittelbar auf seine Ergänzung<br />
durch Informationszugang: Als Selbstbest<strong>im</strong>mungsrecht kann es nur<br />
durch Einwilligung eingeschränkt werden. Diese Einwilligung aber<br />
setzt Wissen voraus. Dabei kann diese Einwilligung individuell in<br />
einer Art Informationsvertrag ausgehandelt werden. Hier tritt Wissen<br />
zu den üblichen Sicherungen hinzu, die bei solchen Informationsverträgen<br />
verhindern, daß die Kluft zwischen dem rechtlichen Konstrukt<br />
der Gleichheit und der sozialen Realität der Ungleichheit nicht<br />
zu groß wird.<br />
Diese Einwilligung kann aber auch durch den demokratischen Prozeß<br />
der Gesetzgebung gewissermaßen kollektiv ausgehandelt werden.<br />
Auch dieser Prozeß hat Transparenz als eine seiner Legit<strong>im</strong>ationsvoraussetzungen.<br />
Dort wo Bürgerinnen und Bürger individuell<br />
oder kollektiv einwilligen, wird daher die subjektive Möglichkeit des<br />
Sich Informieren Könnens vorausgesetzt. Auskunftsrecht und Benachrichtigungspflicht<br />
flankieren dieses Wissen. <strong>Datenschutz</strong> ist somit,<br />
wie vom Bundesverfassungsgericht ausdrücklich bestätigt, als<br />
Schutz durch Wissen konzipiert.<br />
Zum individuellen Wissen tritt das Institutionen-Wissen durch <strong>Datenschutz</strong>beauftragte,<br />
Registrierungspflichten und öffentlich einsehbare<br />
Register. In meinem Beitrag sehe ich nicht den Ort, dem nachzugehen,<br />
was die Anwendungswirklichkeit aus den Anwendungsprinzipien<br />
gemacht hat. Ich behalte mir das für den prognostizierenden<br />
Teil meiner Ausführungen zum Informationszugang vor. Eine<br />
kurze Bemerkung sei mir gestattet. Die Vielzahl der <strong>Datenschutz</strong>behörden<br />
erlaubt uns zu vergleichen und zu lernen; sie schafft "peer<br />
groups", denen gegenüber man sich zumindest gelegentlich zur<br />
90
Rechtfertigung verpflichtet fühlt. Beides hat - dank föderativer<br />
Struktur - zum Regulierungswettbewerb "<strong>Datenschutz</strong>" beigetragen,<br />
der ihn europaweit wie international so konkurrenzfähig gemacht<br />
hat.<br />
Einwilligung, demokratisch-transparente Regeln für die Fälle, in<br />
denen von Einwilligung abgesehen wird, individuelle Rechte auf<br />
Wissen und Wissensvermittlung, institutionelle Absicherung des<br />
Wissens um allgemeine Systemzusammenhänge <strong>im</strong> Verhältnis zwischen<br />
Bürgerinnen und Bürgern und dem Staat sind zusammengefaßt<br />
die Elemente des <strong>Datenschutz</strong>es, die - in konsequenter Fortschreibung<br />
- nach abschließender Ergänzung durch ein umfassendes Informationszugangsgesetz<br />
verlangen.<br />
Die informationellen Elemente des <strong>Datenschutz</strong>es sind gelegentlich<br />
in Vergessenheit geraten. Mir scheint, nicht ohne Grund. Die Karriere,<br />
die der <strong>Datenschutz</strong> in der deutschen Verwaltung gemacht hat,<br />
verdankt er auch der Betonung seiner retentiven Elemente, mit denen<br />
sich die Verwaltung in eigenen Traditionen bestätigt sah. Die Nichtweitergabe<br />
an Dritte (wobei als Dritte allerdings nur die Stellen gesehen<br />
wurden, die außerhalb der öffentlichen Verwaltung lagen) ist<br />
erst jetzt und aus anderen Gründen bei uns zu einem Problem geworden;<br />
tiefgreifende Konflikte mit der Verwaltung gab es bisher in<br />
erster Linie dort, wo es um Einsichtsrechte ging.<br />
Da wir uns dem Thema vom <strong>Datenschutz</strong> her nähern und sich, wie<br />
ich meine, die Darlegungslast ohnehin gewendet hat, verweise ich<br />
nur stichwortartig auf weitere Begründungszusammenhänge für ein<br />
Informationszugangsrecht:<br />
- eine Auslegung des Art. 5 Abs. 1 Satz 1 GG etwa, die vermeidet,<br />
daß die Allgemeinzugänglichkeit von Quellen durch<br />
deren Inhaber allein best<strong>im</strong>mt wird, wenn diese Quellen<br />
Akten sind;<br />
- das Gleichheitsgebot, das allzu krassen Verfahren ungleicher<br />
Informationsverteilung entgegenwirkt;<br />
- das Demokratie- und Rechtsstaatsgebot.<br />
Nicht heranziehen möchte ich hier spezielle, auch durchaus verfassungsrechtlich<br />
relevante Informationsprivilegien: für die Massenme-<br />
91
dien etwa, für Parlamentarier oder Untersuchungsausschüsse, für<br />
Rechnungshöfe. Diese bestehenden und zugleich auch einschränkenden<br />
Informationszugangsregeln haben sich zumindest rechtspolitisch<br />
eher als Hemmnisse auf dem Weg zu einem allgemeinen Informationszugangsrechts<br />
erwiesen - entweder unter der Devise "Wenn uns<br />
gegeben wird, wird auch den anderen gegeben" oder "Wenn schon<br />
uns nicht gegeben wird, warum dann den anderen"<br />
3. Lösungsaufgaben des Informationszugangsrechts<br />
Gerade auch die jüngsten Erfahrungen in Brandenburg, aber auch<br />
eine lange Beobachtung des kanadischen Systems, das unserer Mentalität<br />
vielleicht näher liegt als das amerikanische, haben mir deutlich<br />
gemacht, daß es hilfreich sein kann, drei Arten von Problemen zu<br />
unterscheiden:<br />
- Konstruktionsprobleme, d.h. Gestaltungsprobleme des rechtlichen<br />
Rahmens,<br />
- Bewohnungsprobleme, d.h. Probleme in der täglichen Praxis,<br />
die sich nicht allein und nicht <strong>im</strong>mer pr<strong>im</strong>är aus den Konstruktionen<br />
ergeben, und<br />
- Siedlungsprobleme, d.h. politische Probleme, die Konstruktion<br />
und Bewohnbarkeit etwas grundsätzlicher in Frage stellen<br />
können als den Rechtsarchitekten lieb sein mag.<br />
3.1 Konstruktionsfragen<br />
3.1.1 Ausnahmen <strong>im</strong> Interesse der Privatsphäre<br />
Was wird aus dem Schutz der Privatsphäre, was wird aus den Interessen<br />
privater Dritter Das erscheint - vor dem Hintergrund des<br />
<strong>Datenschutz</strong>es - als die zentrale Konstruktionsfrage. Es ist eine<br />
Selbstverständlichkeit, die aber, wenn sie schon als solche bezeichnet<br />
wird, <strong>im</strong>mer wieder wiederholt werden muß: Es gibt keine Informations-<br />
92
zugangsregelungen ohne Regelung der Ausnahmen derselben. Das<br />
führt zu den Problemen:<br />
- Wer formuliert wie die Ausnahmen<br />
- Verändert sich das Gewicht von Ausnahmen, bei denen aus<br />
Gründen des <strong>Datenschutz</strong>es eine Weitergabe nicht zulässig<br />
war, wenn diese Ausnahmen nunmehr <strong>im</strong> Kontext eines Informationszugangsprinzips<br />
auftauchen<br />
- Wie ist das Verfahren zu gestalten<br />
3.1.1.1 Materielle Probleme<br />
<strong>Datenschutz</strong>relevante Entscheidungen unter Informationszugangsregeln<br />
unterscheiden sich strukturell nicht von Entscheidungssituationen,<br />
in denen etwa die Verwaltung über eine Weitergabe an Dritte<br />
zu entscheiden hatte. Die brandenburgische Regelung zur Akteneinsicht,<br />
soweit sie sich auf personenbezogene Daten bezieht, setzt daher<br />
konsequenterweise an den Standardausnahmen der <strong>Datenschutz</strong>gesetze<br />
an:<br />
- Zust<strong>im</strong>mung,<br />
- gesetzliche Regelung, die Offenbarung zuläßt,<br />
- allgemein zugängliche Quellen, sofern diesen nicht schutzwürdige<br />
Belange entgegenstehen.<br />
Die brandenburgische Regelung trägt dem expliziten Verfassungsgebot<br />
zusätzlich dadurch Rechnung, daß sie zusätzlich eine Ausnahme<br />
der Ausnahme gewährt soweit "aufgrund besonderer Umstände des<br />
Einzelfalls <strong>im</strong> Hinblick auf den Zweck der politischen Mitgestaltung<br />
[das ist der verfassungsrechtliche Bezug] das Offenbarungsinteresse<br />
des Antragstellers das Interesse der betroffenen Person an der vertraulichen<br />
Behandlung der Information überwiegt" (AIG § 5 Abs. 2<br />
Ziff. 3).<br />
Der Gesetzentwurf der Fraktion BÜNDNIS 90/DIE GRÜNEN (BT<br />
Drucksache 13/8432 vom 27.08.1997) verfolgt zunächst das gleiche<br />
Prinzip, in dem er auf Zust<strong>im</strong>mung und rechtliche Regelung ver-<br />
93
weist. Dann hebt er aber einen Personenkreis hervor, der unter besonderen<br />
Umständen "öffentlich" ist oder geworden ist: den Amtsträger<br />
oder die Amtsträgerin in Ausübung seiner oder ihrer Ämter,<br />
allerdings nur mit eben diesen öffentlichkeitszugewandten Daten;<br />
weiterhin diejenigen, die sich in den Prozeß der Meinungsbildung öffentlicher<br />
Organe öffentlich einbezogen haben oder einbezogen wurden,<br />
wie etwa Gutachter, und schließlich solche personenbezogenen<br />
Daten, die für den Nachvollzug behördlichen Handelns erforderlich<br />
sind. Ein Vortrag ist nicht der Rahmen, diese Regelungen einer detaillierten<br />
Prüfung zu unterziehen. Vor dem Hintergrund der Erfahrungen<br />
in Ländern mit langer Transparenztradition sollen zwei<br />
grundlegende Bemerkungen genügen:<br />
- Der Abgleich der Formulierungen zwischen <strong>Datenschutz</strong>gesetz<br />
und Informationszugangsgesetz ist wichtig, um Auslegungs-<br />
und/oder Umgehungsprobleme zu min<strong>im</strong>ieren oder<br />
gar nicht erst entstehen zu lassen. Um ein Beispiel zu nennen:<br />
Der Zugang zu personenbezogenen Daten ist logisch ein<br />
Unterfall des allgemeinen Zugangs; die Verweigerung des<br />
Zugangs nach <strong>Datenschutz</strong>regeln ein Spezialfall der Verweigerung<br />
des allgemeinen Zugangs, mit der Ausnahme, daß<br />
diese Verweigerung gegenüber dem Betroffenen anders zu<br />
gewichten ist als gegenüber einem Dritten. Fallen nur Daten<br />
eines best<strong>im</strong>mten Formats unter das <strong>Datenschutz</strong>gesetz, wird<br />
der Betroffene auf das Informationszugangsgesetz verweisen,<br />
wenn er wegen des Formats vom <strong>Datenschutz</strong>gesetz<br />
ausgeschlossen bleibt; die Ausnahmen des Informationszugangsgesetzes<br />
nehmen aber in der Regel nicht darauf Rücksicht,<br />
daß der Betroffene in ihn betreffende Unterlagen Einsicht<br />
nehmen will. Das Gewicht dieser Probleme sollte man<br />
nicht überschätzen; ihre Häufigkeit aber auch nicht unterschätzen.<br />
- Die zweite Bemerkung gilt mittelfristigen Folgen: Dem <strong>Datenschutz</strong>gesetz<br />
sind bereichsspezifische Regelungen gefolgt.<br />
Dem Informationszugangsgesetz werden bereichsspezifische<br />
Regelungen folgen. So wie die ersteren zur Hauptsache<br />
Weitergaberegeln präzisiert haben, werden letztere zur<br />
Hauptsache Gehe<strong>im</strong>haltungs- und Zurückbehaltungsrechte<br />
formulieren. Es wird notwendig werden, einen Weg zu finden,<br />
der es vor allem auch der Legislative erlaubt, die Kon-<br />
94
trolle über diese spezifischen Abweichungen zu behalten und<br />
insbesondere dieses Geflecht transparent zu machen. Dies ist<br />
hier auch ein schon vorweggenommenes Argument für eine<br />
spezifische institutionelle Ausgestaltung.<br />
3.1.1.2 Verfassungsfragen<br />
Es bleibt natürlich eine tiefer gehende unausgesprochene Grundsatzfrage:<br />
Entkleiden wir für einen Augenblick unser Tun der Rhetorik<br />
der praktischen Konkordanz, der wir selbstverständlich alle verpflichtet<br />
sind, so bleibt die Kernfrage, ob sich der "Geist der Gesetze"<br />
in den bisherigen Informationsgesetzen und ihre Auslegung<br />
spürbar wandeln wird; weiter, wie ist denn mit dem Umstand umzugehen,<br />
daß <strong>Datenschutz</strong> seine verfassungsrechtlichen Weihen<br />
(schon) - zumindest interpretativ - empfangen hat, der Informationszugang<br />
jedenfalls auf Bundesebene noch nicht<br />
Hier, so meine ich, ist an die Komplementarität zu erinnern. Selbst<br />
wenn nur der <strong>Datenschutz</strong> explizit in die Verfassung aufgenommen<br />
würde, wäre eine Formulierung erforderlich, die seinem Transparenzgehalt<br />
genügen würde. Beachtet man aber zugleich die symbolische<br />
Wirkung einer Verfassungsänderung, so liegt auf der Hand, daß<br />
das nachzuvollziehen wäre, was in der letzten Revisionsanstrengung<br />
versäumt wurde, nämlich <strong>Datenschutz</strong> und Informationszugang in ihrer<br />
Komplementarität explizit auszuweisen.<br />
3.1.1.3 Verfahren<br />
Zu klären bleibt die Verfahrensfrage. Hat man es <strong>im</strong> <strong>Datenschutz</strong><br />
weitgehend hingenommen, daß Weitergabeentscheide von der Verwaltung<br />
eigenverantwortlich getroffen werden, so sehen eine Vielzahl<br />
ausländischer Regelungen, das brandenburgische Gesetz <strong>im</strong> § 6<br />
Abs. 3 und der Entwurf der Fraktion BÜNDNIS 90 / DIE GRÜNEN<br />
ein abgesetztes - <strong>im</strong> deutschen Verwaltungsrecht aber keinesfalls unübliches<br />
- Anhörungsrecht des Dritten vor. Die brandenburgische<br />
Regelung setzt darüber hinaus in best<strong>im</strong>mten Fällen die Zust<strong>im</strong>mung<br />
des Dritten voraus (§ 6 Abs. 5).<br />
95
Zusätzlich werden dem Dritten dann - ohne daß dies <strong>im</strong> Gegensatz<br />
zu anderen Ländern besonders <strong>im</strong> Informationszugangsgesetz geregelt<br />
ist - die üblichen verwaltungsrechtlichen Mittel - wie bei Verwaltungsakten<br />
mit Doppelwirkung - an die Hand gegeben. Den Gerichten<br />
wird Gelegenheit geboten werden, ihre Erfahrungen aus Baugenehmigungsverfahren<br />
<strong>im</strong> Terrain des Informationsrechts zu erproben.<br />
Die verfahrensrechtlichen Konsequenzen scheinen mir - obwohl<br />
doch schon einschlägige Erfahrungen mit dem Umweltinformationsgesetz<br />
vorliegen - <strong>im</strong> übrigen noch nicht voll durchdacht, wenn auch<br />
zumindest <strong>im</strong> Entwurf des Informationsfreiheitsgesetzes angedacht:<br />
So ist zu beachten, daß dem betroffenen Dritten Gelegenheit zu geben<br />
ist, wirksam Widerspruch einzulegen, so daß zwar der Offenlegungsbescheid<br />
an Antragsteller und Dritten gleichzeitig ergehen<br />
kann, die Offenlegung in diesen Fällen aber erst nach Ablauf der<br />
Widerspruchsfrist, so daß diese Frist den Verzögerungen durch die<br />
Aufforderung zur ersten Stellungnahme hinzugerechnet werden muß.<br />
Die Erfahrung zeigt jedenfalls, daß es zur Einbindung Dritter keine<br />
Alternativen gibt, die von Befürwortern eines besseren Umgangs mit<br />
Informationen durch die Verwaltung guten Gewissens vertreten werden<br />
könnten, daß andererseits aber diese Art der Einbeziehung die<br />
Verfahren erheblich verlängern wird.<br />
Schließlich - so zeigt die ausländische Erfahrung - gibt es auch noch<br />
Fälle, in denen es zwar betroffene Dritte gibt, ihre Einbeziehung aber<br />
aus verfahrenstechnischen Gründen nicht oder nur sehr schwer möglich<br />
sein wird. Auch hierfür muß Vorsorge getroffen werden.<br />
3.1.2 Weitere Ausnahmen<br />
Der Vollständigkeit halber sei noch auf die anderen geregelten und<br />
zu regelnden Ausnahmen verwiesen:<br />
- den Schutz von Geschäfts- und Betriebsgehe<strong>im</strong>nissen,<br />
- den Schutz der Strafverfolgung und Rechtsdurchsetzung,<br />
- den Schutz staatlicher Interessen <strong>im</strong> Bereich der Verteidigung,<br />
Wirtschaft und Außenpolitik.<br />
96
Über den Geltungsgrund derartiger Ausnahmen bestehen kaum Meinungsverschiedenheiten,<br />
eher hinsichtlich ihrer rechtstechnischen<br />
Ausgestaltung: Wieviel Spielraum bleibt den Gerichten, wie eng hat<br />
der Gesetzgeber diesen Spielraum zu ziehen Wo sind widerlegbare<br />
Vermutungen, wo unumstößliche Gehe<strong>im</strong>haltungspflichten Wo sind<br />
materielle Abwägungen vorzunehmen Wo genügen Typenmuster<br />
Grundsätzlich wichtig scheint mir eine Erkenntnis zu sein, die sich<br />
schon längst durch die Entscheidungen in <strong>Datenschutz</strong>fragen zieht<br />
- durch die ausländischer Gerichte zum Informationsrecht einschließlich<br />
des inländisch-ausländischen EuGH: Es werden präzise<br />
Abwägungen verlangt werden, die sich nicht pauschal auf ein Dokument<br />
oder Dokumentenensemble beziehen können, sondern die<br />
einzeln den verschiedenen Informationskomplexen nachzugehen haben<br />
und darüber hinaus noch verschiedene Teil- und Unterformen<br />
der Informationsvermittlung (teilweise Schwärzung, Auskunft statt<br />
Einsicht etc.) zu berücksichtigen haben werden. Diese von der Verwaltung<br />
eingeforderte größere informationsbezogene Präzision ist<br />
durch die Auslegung der <strong>Datenschutz</strong>gesetze - und der bestehenden<br />
bereichsspezifischen Informationszugangsgesetze (Umweltinformationsgesetz)<br />
bereits vorbereitet worden. Auch hier jedoch werden<br />
weitere gegenstandsbezogene Informationszugangsregelungen notwendig<br />
werden. Im Interesse der Transparenz der Transparenzregeln<br />
werden wir dann - wie angedeutet - nicht an einer systematischen<br />
Zusammenfassung und Fortführung von Gehe<strong>im</strong>haltungsregeln vorbeikommen,<br />
wie dies etwa <strong>im</strong> schwedischen Sekretesslag oder <strong>im</strong><br />
entsprechenden Schedule des kanadischen Bundesgesetzes zum Informationszugang<br />
fortlaufend geschieht.<br />
3.1.3 Institutionelle Einbindung<br />
Das zweite Lieblingsthema in der Diskussion über Informationszugang<br />
und <strong>Datenschutz</strong> in Deutschland ist die institutionelle Einbindung.<br />
Damit hat die Diskussion bereits einen wesentlichen Fortschritt<br />
gemacht: Das Ob der institutionellen Einbindung steht nicht<br />
mehr in Frage. In der Tat zeigen die ausländischen Beispiele auch<br />
jenseits einer gewissen Vorliebe deutscher Rechtskultur für die Versinnlichung<br />
von Recht durch den oder die Beauftragte, daß Rechts-<br />
97
veränderungen einer institutionellen Begleitung bedürfen und zwar<br />
gleichermaßen für Berechtigte wie für Verpflichtete.<br />
Zum Wie gibt es <strong>im</strong> wesentlichen zwei Modelle, das integrative oder<br />
das antagonistische, wobei letzteres zumeist Kooperationsmodell genannt<br />
wird. Seltsamerweise hat sich in dem Land, das als erstes die<br />
vollen Auswirkungen des Zusammenwirkens von Informationszugang<br />
und <strong>Datenschutz</strong> national erkannt hatte, in Kanada, auf Bundesebene<br />
aufgrund historischer und politischer Zufälligkeiten trotz<br />
einer anderen gesetzlichen Möglichkeit das antagonistische Element<br />
durchgesetzt, während in einem Land wie Frankreich, wo man sich<br />
zu Anfang gar nicht des Zusammenhangs zweier kurz hintereinander<br />
verabschiedeter Gesetze bewußt war, sich zwischen beiden Institutionen<br />
trotz anfänglicher Schwierigkeiten, aber dank gemeinsamer sekundärer<br />
und tertiärer Sozialisation, eine gute Zusammenarbeit entwickelt.<br />
Das verweist auf ein anderes in der Diskussion <strong>im</strong>mer wieder anklingendes<br />
Motiv, das Vergleichen zwischen Rechtsordnungen vor allem<br />
<strong>im</strong> öffentlichen Recht eine Dissonanz mitgibt: Unterschiede in Verwaltungskulturen,<br />
in Verwaltungsstilen, wenn man schon nicht von<br />
Kultur sprechen möchte. Neben all den haushaltsrechtlichen und<br />
verwaltungspraktischen Argumenten, den Hinweisen auf erworbene<br />
Anerkennung und erworbenes Wissen um Informationszugänge<br />
scheint mir dies ein zusätzliches Argument für die Zusammenlegung<br />
von Informationszugangs- und <strong>Datenschutz</strong>beauftragten zu sein: Die<br />
<strong>Datenschutz</strong>beauftragten sind die Einrichtungen, die der Verwaltungskommunikation<br />
bisher am nächsten standen, die so auch wahrgenommen<br />
werden und die ihre Stile mit den Verwaltungen gefunden<br />
haben. Sie sind daher auch mit der Aufgabe des Informationszugangsbeauftragten<br />
zu betrauen. Das wird sie nicht - wie die ausländische<br />
Erfahrung zeigt - vor gelegentlich schwierigen Abwägungen<br />
bewahren und es wird an ihnen liegen, jenes Organisationsmuster zu<br />
finden, daß diesen Entscheidungsprozeß intern opt<strong>im</strong>iert. Wobei ohnehin<br />
zu beachten sein wird, daß in unserem System diesen Beauftragten<br />
zwar eine möglicherweise verfügende, aber keine streitentscheidende<br />
Funktion zukommen wird.<br />
98
3.2 Probleme der Bewohnbarkeit<br />
3.2.1 Aktive Information und Informationsroutinen<br />
Mein kurzer Exkurs in den verwaltungsrechtlichen und verwaltungsgerichtlichen<br />
Alltag hat es schon angedeutet: Die gesetzliche Regelung<br />
des Informationszugangs wird zu einer Verförmlichung der Informationsbeziehungen<br />
zwischen Bürgerinnen und Bürgern führen.<br />
Das ist zwangsläufig so: Durch Informationszugangsgesetze werden<br />
Privilegierungen zwar nicht völlig beseitigt - informelle Informationskanäle,<br />
gezielte Indiskretionen wird es weiterhin genau so geben<br />
wie Mauern oder Verschleiern oder Beschönigen. Der Gewinn an<br />
Gleichheit, die Möglichkeit der Erzwingung, der Druck, der auf Verhalten<br />
ausgeübt wird, wird mit Formalisierung erkauft werden müssen.<br />
Freilich - ähnlich wie be<strong>im</strong> <strong>Datenschutz</strong>, der doch zunehmend von<br />
den Verwaltungen auch als "learning teaching system", als lernendes<br />
Lehrsystem wahrgenommen wird, besteht mit der Regelung des Informationszugangs<br />
die Möglichkeit einer mittel- bis langfristigen<br />
Verhaltensänderung. Zwar muß dieser Anstoß durch Gesetz erfolgen,<br />
da andernfalls Verwaltungen erfahrungsgemäß Ressourcenverlagerungen<br />
weder nach innen noch nach außen wirksam rechtfertigen<br />
können. Die Anpassung wird jedoch ihre eigenen verwaltungsökonomischen<br />
Gesetzmäßigkeiten entfalten. Zum einen erlegen alle Informationszugangsgesetze<br />
<strong>im</strong> internationalen Vergleich aktive Informationspflichten<br />
auf, die mir <strong>im</strong> brandenburgischen Gesetz überhaupt<br />
nicht und <strong>im</strong> zitierten Gesetzentwurf nur sehr unzureichend<br />
entwickelt scheinen. Auch hier muß der Anstoß aber durch Gesetz<br />
erfolgen; die Verwaltungen werden sehr bald wahrnehmen, daß sich<br />
Informationsanfragen erübrigen bzw. leichter bearbeiten lassen,<br />
wenn sie derartige Metahilfen zur Verfügung stellen. Auch bei der<br />
Bearbeitung einzelner Informationsanfragen wird sich die Praxis<br />
entwickeln, zwischen bereits entschiedenen und noch zu entscheidenden<br />
Informationsbeständen zu unterscheiden und bei ersteren die<br />
Weitergabe zu routinisieren. Hinzu kommen die neuen informationstechnischen<br />
Möglichkeiten, die die Verbreitung von Information<br />
und ihre gleichzeitige innerorganisatorische Nutzung erheblich erleichtern.<br />
Diese Überlegungen haben in den USA zur Verabschiedung<br />
des Electronic Freedom of Information Act geführt.<br />
99
Auch andere Reformgedanken und ihre ja schon lange anhaltende<br />
Umsetzung mögen mit zur Wahrnehmung beitragen, daß Verwalten<br />
in erster Linie einen angemessenen Umgang mit Informationen erfordert.<br />
Auch zu diesem an Informations- und Kommunikationsmanagement<br />
orientierten Verhalten hat die Implementationsgeschichte<br />
des <strong>Datenschutz</strong>es in Deutschland zumindest in einigen Teilen der<br />
öffentlichen Verwaltung beigetragen.<br />
3.2.2 Kommerzialisierung<br />
Das neuere serviceorientierte Managementdenken hat und wird<br />
allerdings auch andere Folgen mit sich bringen: Vielfach zählen die<br />
Informationsbestände zu den wenigen Ressourcen von wirtschaftlichem<br />
Wert, die Verwaltungen besitzen. Best<strong>im</strong>mte Informationsbestände<br />
können auch ganz plötzlich ungeahnten wirtschaftlichen Wert<br />
erhalten. Aufgrund der Anforderungen kosteneffizienter Verwaltung,<br />
der Public-Private-Partnerships und nicht zuletzt aufgrund der Versuchungen<br />
vor allem <strong>im</strong> gemeindlichen Bereich, Vorteile staatlichen<br />
Handelns mit den Vorteilen des privatrechtlichen Formenreichtums<br />
zu verbinden, liegt es nahe, Bestände zur unmittelbaren oder mittelbaren<br />
Vermarktung, Teil- oder Vollprivatisierung vorzubereiten.<br />
Die Konsequenzen für den Informationszugang liegen auf der Hand:<br />
Vermarktung und Informationszugangsrecht können hinsichtlich des<br />
gleichen Informationsbestandes und gleicher Retrievalmöglichkeiten<br />
nicht koexistieren. Selbst wenn noch gelegentlich die Tendenz besteht,<br />
das Gebührenrecht als Prohibitionsgesetz gegen den möglichen<br />
Rausch des Informationszugangs einsetzen zu wollen, wird sich aus<br />
eben diesen gebührenrechtlichen Grundsätzen ein Preis in Nähe der<br />
Grenzkosten der Verteilung einpendeln, die bei elektronischer Verteilung<br />
gegen Null tendieren. Das mag man bedauern, aber es scheint<br />
mir unaufhaltsam. Daneben aber können langfristig Informationen<br />
gleicher Art und Güte nicht vermarktet werden, abgesehen von<br />
Problemen, die <strong>im</strong> Bereich personenbezogener Informationen weiterhin<br />
bestehen bleiben werden. Dagegen werden sich zwei Strategien<br />
entwickeln, die bereits jetzt wahrzunehmen sind, leider vor allem<br />
auf der Ebene der europäischen Institutionen, die Transparenz so<br />
sehr betont haben. Die eine Strategie besteht darin, zwar nicht die<br />
zugängliche oder allgemeinzugänglich zu haltende Information zu<br />
100
eschränken, statt dessen aber ihre Handhabbarkeit erheblich einzuschränken.<br />
Aktuelle Gerichtsurteile stehen zwar <strong>im</strong> Volltext zur Verfügung,<br />
aber nur für einen begrenzten Zeitraum, Gesetzestexte werden<br />
zwar elektronisch veröffentlicht, aber nur so, daß ein Lesen des<br />
gesamten Textes nur unter physischen und elektronischen Kraftanstrengungen<br />
möglich ist; oder Informationen werden, obwohl elektronisch<br />
vorhanden, nur in Papierform herausgegeben.<br />
Die andere Strategie besteht darin, Informationsbestände ganz aus<br />
der öffentlichen Hand zu geben und die Bürgerinnen und Bürger darauf<br />
zu verweisen, sie sich zu Marktpreisen zu beschaffen, während<br />
die Verwaltungen selbst auf diese Informationen weiter zu Präferenzpreisen<br />
zugreifen können.<br />
<strong>Neue</strong>re urheberrechtliche Entwicklungen scheinen Vermarktungstrends<br />
eher zu unterstützen: Die Datenbankrichtlinie verlangt von<br />
den Mitgliedsstaaten explizit zu sagen, daß sie auf ihr sui generis-Recht<br />
hinsichtlich ihrer Datenbanken verzichten; <strong>im</strong> Rahmen des<br />
Urheberrechtes ist das gesetzlich selbstverständlich gewesen. Wie<br />
leicht sich die öffentliche Verwaltung hier von ihr zugefallenen<br />
Rechten trennen wird, bleibt abzuwarten.<br />
Aber auch vor dem anderen Weg ist zu warnen: Gelegentlich wird<br />
gefordert, man solle die weitere kommerzielle Nutzung durch private<br />
Dritte zumindest gebührenrechtlich schlechter stellen als die Informationsanfragen<br />
der Bürgerinnen und Bürger, denn schließlich verfolgten<br />
die einen ihr Bürgerrecht, die anderen aber würden die Verwaltung<br />
in diesen Fällen als billige Informationsquelle mißbrauchen.<br />
Dem ist entgegenzuhalten:<br />
- Die Möglichkeit, gegenüber der Informationsindustrie höhere<br />
Gebühren zu verlangen, ist verführerisch; sie wird über<br />
kurz oder lang die Verwaltungen veranlassen, ihre Informationsressourcen<br />
eher nach den Bedürfnissen dieser zahlungskräftigen<br />
Abnehmer auszurichten, auch wenn sie selbst dem<br />
Informationsmarkt fernbleiben wollen.<br />
- Eine solche Regelung wird europarechtlich bedenklich, wenn<br />
andere europäische Verwaltungen gegenüber deutschen<br />
101
Nachfragern aufgrund ihrer Regelungen Informationen kostenlos<br />
abgeben.<br />
- Auch die Unternehmen haben mit ihren Steuern zur Produktion<br />
dieser Informationen beigetragen; gerade kleinere und<br />
mittlere Unternehmen der Informationsindustrie in Deutschland<br />
könnten zur Belebung der Informationsversorgung beitragen.<br />
Die kostenlose Abgabe der Informationen könnten sie<br />
aus den dargestellten Gründen ohnehin nicht dazu mißbrauchen,<br />
die Informationen, so wie sie sie erhalten haben, zu<br />
verkaufen, denn die Bürgerinnen und Bürger können sie e-<br />
benfalls kostenlos direkt von der Verwaltung erhalten.<br />
- Und schließlich: Die Verwaltungen wären gezwungen, das<br />
zu tun, was sie <strong>im</strong> Interesse der Informationsfreiheit nicht tun<br />
sollten, nämlich nachzuforschen, was denn mit den angefragten<br />
Informationen geschehen soll. Wird die Bürgerinitiative<br />
Hochglanzbroschüren verkaufen, um sich notwendige<br />
zusätzliche Ressourcen zu verschaffen Oder gibt sie sie<br />
bloß kopiert weiter Wer soll das kontrollieren Eine ähnliche<br />
Regelung in Frankreich hat sich jedenfalls nicht bewährt<br />
und sie ist in Belgien, das die französische Regelung kritiklos<br />
kopiert hatte, vor ihrem Scheitern.<br />
Die Zukunft der Informationsgesellschaft in Deutschland wird nicht<br />
erleichtert, wenn von vornherein die Interessen der Informationsindustrie<br />
gegen die Interessen der Bürgerinnen und Bürger ausgespielt<br />
werden sollen. Warum nicht Regelungen finden, die Bürgerinnen<br />
und Bürgern und diesem sich entwickelnden Wirtschaftszweig zugute<br />
kommen. In den USA scheint das gelungen zu sein. Das wird<br />
allerdings voraussetzen, in Zukunft politisch deutlicher und genauer<br />
zu definieren, was in die Informationsverantwortung des Staates fallen<br />
wird und wie er hier Qualität und Nachhaltigkeit sichern wird.<br />
3.2.3 Machtverlust<br />
Ich komme zum dritten Problem - keinem eigentlich juristischen -,<br />
aber dafür wichtigen Problem: Information ist nicht nur gelegentlich<br />
die einzige wirtschaftliche Ressource, die der Verwaltung geblieben<br />
ist, sie ist weithin schlicht die einzige und letzte Machtressource, die<br />
102
der Verwaltung geblieben ist. Das gilt vor allem dort, wo die Verfügung<br />
über Geldmittel eingeschränkt wird oder eingeschränkt worden<br />
ist, unmittelbarer Zwang nicht opportun ist und die Wirkungsmöglichkeiten<br />
über Status sich wegen der großen Nähe nicht so einfach<br />
herstellen. Das ist der Bereich der lokalen Verwaltung.<br />
Wir erinnern: Unter <strong>Datenschutz</strong>aspekten war und ist hier das Konzept<br />
der informationellen Gewaltenteilung besonders hart auf das<br />
Verständnis von der Verwaltung als Einheit getroffen. Das Auslagern<br />
weiterer Verwaltungsfunktionen auf die Städte und Gemeinden<br />
bei sinkenden finanziellen Ressourcen, der Druck bürgerfreundlicher<br />
zu werden in einem Kl<strong>im</strong>a der Verwaltungsfeindlichkeit, stärkt diesen<br />
umfangreichen Teil unserer öffentlichen Verwaltungen in ihren<br />
Befürchtungen vor Informationszugangsgesetzen. Hinzu kommt, daß<br />
diese Verwaltungen <strong>im</strong> Pflichtaufgabenbereich nach Weisung zwar<br />
als lokale Verwaltung wahrgenommen, in ihren Handlungsmöglichkeiten<br />
aber beschränkt, wenn nicht gar fremdgesteuert sind. In der<br />
Beziehung zwischen lokalen Parteien und Verwaltung, aber auch<br />
zwischen Verwaltung und zu Verwalteten stand und steht<br />
- gewissermaßen notgedrungen - Steuerung durch Information<br />
synonym für Politik und Verwaltung. Zumindest potentiell werden<br />
hier dann gesetzlich, <strong>im</strong> Einzelfall aber unvorhersehbar Informationen<br />
dieser Verfügungsmöglichkeit entzogen. Es steht zu erwarten,<br />
daß hier die nun wirklich allerletzte Ressource, über die Verwaltung<br />
verfügt, verstärkt eingesetzt werden wird, ohne daß dies durch Regelungen<br />
ausreichend eingegrenzt werden kann: Zeit. Zeitablauf ermöglicht<br />
gegebenenfalls, Einsichtsansprüchen ihre mögliche politische<br />
Brisanz zu nehmen. Die Verwaltung wird ihre Möglichkeit, ü-<br />
ber die Zeit verfügen zu können, voll ausschöpfen. Aus der Sicht der<br />
Bürgerinnen und Bürger bedeutet dies: Die Zeitdauer zwischen Antrag<br />
und Bescheidung wird zum größten praktischen Problem werden.<br />
Dieses Problem wird auch - wie die ausländische Erfahrung<br />
zeigt - nur schwer durch Regelungen zu kontrollieren sein. Der Verwaltung<br />
wird der Rückgriff auf Ausnahmeregelungen <strong>im</strong> jeweiligen<br />
Einzelfall kaum zu nehmen sein.<br />
Ich habe hier nur drei Probleme des täglichen Lebens mit Informationszugangsgesetzen<br />
herausgegriffen, die mir struktur- und entwicklungsbedingt<br />
zu sein scheinen. An all die anderen Probleme<br />
braucht hier nicht weiter erinnert zu werden; auch hier hat uns der<br />
103
<strong>Datenschutz</strong> reichlich Gelegenheit gegeben zu erfahren und zu lernen:<br />
Tendenzen rechtemin<strong>im</strong>ierender Auslegung, Beschwerlichkeit<br />
des Rechtsweges, mangelnde Lernfähigkeit von Verwaltungen, aber<br />
auch Kleinlichkeiten und Rechthabereien bei den Verwalteten.<br />
Wir stehen aber - unabhängig von der Existenz oder Nichtexistenz,<br />
unabhängig vom guten oder schlechten Funktionieren informationsrechtlicher<br />
Regelungen - vor einem größeren, vor einem - um <strong>im</strong><br />
Bild zu bleiben - Siedlungsproblem.<br />
3.3 Siedlungsprobleme der Informationsordnung<br />
Ich will es hier - wenn ich so sagen darf - <strong>im</strong> Rahmen unserer Diskussionen<br />
um mittlere Reichweiten nur ansprechen:<br />
Es gelingt uns nicht, Austauschbeziehungen zwischen Bürgerinnen<br />
und Bürgern einerseits und staatlichen Institutionen anderseits so zu<br />
gestalten und weiter auszugestalten, daß sie durchschaubar und<br />
nachvollziehbar werden. Dies gilt sowohl für das Steuer- und Abgabensystem<br />
wie für die Systeme der sozialen Sicherung. Beides sind<br />
Bereiche, in denen technisch gestützte Informationssysteme eine<br />
ganz erhebliche, wenn nicht gar schon allein systemerhaltende Bedeutung<br />
bekommen haben und die sowohl hinsichtlich ihrer Auswirkungen<br />
auf die Privatsphäre als auch in ihrer strukturellen Intransparenz<br />
verfassungsrechtlich relevant geworden sind.<br />
Der Prozeß der Ausdifferenzierung, der Professionalisierung - die<br />
Begleitmusik der Moderne - hat vielfältige Ursachen und Wirkungen.<br />
Ich verweise hier auf einen Beitrag von Frau Verfassungsrichterin<br />
Jaeger zum System der sozialen Sicherung in Deutschland und<br />
seinem sozialen Kontext in Europa. Sie hat darin deutlich gemacht,<br />
wie wenig wir von diesem System und seinen Alternativen wissen,<br />
wie viel von diesem System zu wissen wäre und wie es gestaltbar<br />
wäre, so daß man es verstehen kann (in Lamnek/Tinnefeld: Globalisierung<br />
und Rechtskultur in Europa, Baden-Baden 1998, 65ff.).<br />
Hierzu werden uns Informationszugangsgesetze allein nicht verhelfen,<br />
auch wenn sie weitreichende, aktive Informationspflichten enthalten<br />
werden. Aber vielleicht werden die komplementären Informa-<br />
104
tionszugangsregeln und die Erfahrung mit ihnen dazu führen, daß<br />
sich auch für den Bereich des Informationszugangs ein Min<strong>im</strong>alprinzip<br />
durchzusetzen beginnt. Wird <strong>im</strong> <strong>Datenschutz</strong> <strong>im</strong>mer deutlicher,<br />
wie wichtig die Vermeidung von personenbezogenen Daten ist, wie<br />
wichtig es ist, zwar eindeutig kennzeichnende, nicht aber identifizierende<br />
Systeme zu entwickeln, so wichtig wird es werden, Systeme zu<br />
entwickeln, die mit einem tendenziellen Min<strong>im</strong>um an erläuternden,<br />
differenzierenden Informationen auskommen, so daß sie mit einem<br />
Min<strong>im</strong>um an Transparenzregeln versehen werden müssen, weil sie<br />
bereits strukturell transparent sind.<br />
Das freilich würde von uns auch ein gewandeltes Verständnis von<br />
Verteilungssystemen voraussetzen, aber vielleicht kann die Wahrnehmung<br />
der informationsökologischen Probleme auch hier zu<br />
einem allmählichen Bewußtseinswandel beitragen.<br />
Und schließlich: Täuschen wir uns nicht, die Forderung nach<br />
Transparenz, nach Information ist die Einstiegsdroge für Beteiligung.<br />
Systeme, die für unser tägliches Wohlergehen <strong>im</strong>mer wichtiger werden,<br />
die Netzsysteme des Verkehrs etwa oder der Telekommunikation,<br />
müssen nicht nur transparenter werden, sie werden sich auch<br />
Verfahren zu öffnen haben, an denen sich unmittelbar Betroffene<br />
stärker und wirksamer beteiligen können als vermittelt über Regulierungs-<br />
und Aufsichtsinstanzen. Beispiele finden sich bei Public U-<br />
tility Verfahren in Nordamerika.<br />
Diese Entwicklung wiederum wird ein Thema wichtig werden lassen,<br />
das wir <strong>im</strong> <strong>Datenschutz</strong> glücklicherweise hinter uns gelassen haben:<br />
die Frage der Drittwirkung von Informationszugangsrechten. A-<br />
ber wir wollen unseren kleinen Bauplatz für das Eigenhe<strong>im</strong> eines Informationszugangsgesetzes<br />
noch nicht mit langfristigen Siedlungsplänen<br />
belasten.<br />
4. Schlußbemerkung<br />
Sprach man anläßlich des Volkszählungsurteils noch ernsthaft von<br />
verfassungswidrigen Verfassungsgerichtsentscheidungen und Fragen<br />
ihrer Gültigkeit - gibt es ein Widerstandsrecht gegen den <strong>Datenschutz</strong><br />
- so gehört es mittlerweile zum guten Ton, ist es politically<br />
105
correct, einem "hypertrophen <strong>Datenschutz</strong>" nunmehr "Informationszugangsrechte"<br />
entgegenzustellen. Nun, man vergißt sehr leicht, daß<br />
das allererste <strong>Datenschutz</strong>gesetz - das Hessische, das übrigens auch<br />
das erste in Deutschland bei der Umsetzung der EU-Richtlinie ist,<br />
[für Griechenland und Italien gilt eher der Satz, wer zu spät kommt,<br />
den belohnt die EU] - starken, wenn auch privilegierenden Informationszugangsaspekten<br />
Rechnung trug. Man vergißt, daß seit beinahe<br />
zwanzig Jahren die Bundesrepublik Deutschland in der Verpflichtung<br />
der erwähnten Ministerratserklärung des Europarats stand, allgemeine<br />
Informationszugangsrechte in nationales Gesetz umzusetzen.<br />
Ich führe diesen selbstverständlichen "Wandel in der Verkehrsanschauung"<br />
allein aus zwei Gründen an:<br />
Aus Dankbarkeit: Wir haben diese Entwicklung den Folgen des Jahres<br />
1989 zu verdanken; sie ist - verspätet - ein Teil der Verfassungsbeeinflussung<br />
durch das Volk, das noch frische Erfahrungen mit<br />
Intransparenz hatte. Zum anderen um uns zu wappnen: Wenn wir<br />
erst <strong>im</strong> Alltag des Informationszugangs sind, sollten wir den Argumenten<br />
von der Hypertrophie des Informationszugangs mit einem<br />
Lächeln begegnen können, mit einem wissenden Lächeln.<br />
106
Unlauterer Wettbewerb durch <strong>Datenschutz</strong>verstöße<br />
Thomas Hoeren/Sven Lütkemeier *<br />
I. Einführung<br />
A. Schwächen des <strong>Datenschutz</strong>es <strong>im</strong> nicht-öffentlichen Bereich<br />
Der <strong>Datenschutz</strong> in der Privatwirtschaft ist in letzter Zeit zunehmend<br />
in den Blickwinkel gerückt. 1 Nach über 20 Jahren Bundesdatenschutzgesetz<br />
(BDSG) werden <strong>im</strong>mer noch erhebliche Vollzugsdefizite<br />
gerade <strong>im</strong> Bereich der Wirtschaft 2 beklagt. Teilweise wird das<br />
BDSG in diesem Bereich sogar für allenfalls partiell wirkungsfähig<br />
gehalten. 3 Wiederholt stellen Aufsichtsbehörden eine hohe Quote an<br />
Mängeln fest. 4 So werden etwa entgegen § 36 BDSG entweder gar<br />
keine <strong>Datenschutz</strong>beauftragte bestellt oder ihnen keine ausreichenden<br />
Mittel zur Erfüllung ihrer Aufgaben zur Verfügung gestellt. 5<br />
Einer der Gründe hierfür liegt in der Orientierung des BDSG an den<br />
* Der folgende Text gibt den Vortrag wieder, den der Verfasser (Thomas Hoeren)<br />
in Münster gehalten hat. Der Vortragsstil wurde beibehalten; die Fußnoten<br />
geben nur zentrale Belege wieder. Sven Lütkemeier hat das Manuskript erstellt<br />
und den Inhalt des Vortrages um eigene Ideen bereichert, die auch Gegenstand<br />
seiner Dissertation sind.<br />
1<br />
vgl. z.B. Hassemer, DuD 1995, 448 (449); Nitsch, ZRP 1995, 361 (365).<br />
2<br />
Gola, NJW 1997, 3411 (3418) m.w.N.<br />
3<br />
v. Westerholt, Festschrift für Beier (1996), 561 (574).<br />
4<br />
vgl. LReg NRW, 5. TB DS <strong>im</strong> nicht-öffentlichen Bereich (1995/1996), Gliederungspunkt<br />
1.4.<br />
5<br />
vgl. LReg Hessen, 10. TB DS <strong>im</strong> nicht-öffentlichen Bereich (1996), LT Drucksache<br />
14/3086 v. 1.8.1997, Gliederungspunkt 16.<br />
107
Datenverarbeitungssystemen der 70er Jahre. Einige <strong>Instrumente</strong> sind<br />
durch den zwischenzeitigen technischen Fortschritt überholt, neue<br />
<strong>Instrumente</strong> sind erforderlich. 6 Eine weitere Hauptursache liegt in der<br />
großen Unbest<strong>im</strong>mtheit der BDSG-Best<strong>im</strong>mungen. Diese Unbest<strong>im</strong>mtheit<br />
mag angesichts der Weite des Regelungsgegenstandes,<br />
der sämtliche Verarbeitungssituationen abdeckt, gleich zu welchen<br />
Zwecken welche Art personenbezogener Daten verarbeitet werden,<br />
unvermeidbar sein. 7 Die Häufung von Generalklauseln, die weitgehend<br />
beliebig auslegbar zu sein scheinen, 8 führt aber dazu, daß das<br />
Ziel des BDSG, die Datenverarbeiter zu einer kritischen Überprüfung<br />
ihrer Verarbeitungswünsche mit Blick auf die Belange der Betroffenen<br />
zu veranlassen, nicht erreicht wurde. Unter dem Deckmantel<br />
der Generalklauseln lassen sich Verarbeitungswünsche als<br />
berechtigte Interessen leicht rechtfertigen. 9 Dem 1978 von Sasse<br />
erhobenen Vorwurf, der Gesetzgeber habe mit dem BDSG nur<br />
scheinbar die Datenverarbeitung <strong>im</strong> privaten Bereich geregelt und<br />
die Regelung tatsächlich der praktischen Anwendung durch die betroffenen<br />
Personen überlassen, 10 wurde auch mit der Novellierung<br />
des BDSG <strong>im</strong> Jahre 1990 nicht der Boden entzogen.<br />
B. Unzureichende Sanktionierung von <strong>Datenschutz</strong>verstößen<br />
Diese konzeptionelle Schwäche des BDSG wird noch durch das tatsächlich<br />
weitgehende Leerlaufen der vorgesehenen Sanktionen bei<br />
<strong>Datenschutz</strong>verstößen verstärkt. Soweit das BDSG nicht der Selbstkontrolle<br />
der Datenverarbeiter vertraut, gibt es den Aufsichtsbehörden<br />
nur wenige Zwangsmittel in die Hand, mit denen die tatsächliche<br />
Beachtung des <strong>Datenschutz</strong>rechts durchgesetzt werden könnte (vgl.<br />
§ 38 V BDSG). Hinzu tritt eine oft unzureichende sachliche und<br />
personelle Ausstattung der Aufsichtsbehörden. 11 Zwar werden <strong>im</strong><br />
Rahmen der Anpassung des BDSG an die Vorgaben der EG-<br />
6<br />
Garstka, MMR 1998, 449 (450); Hassemer, DuD 1995, 448 (448); Nitsch, ZRP<br />
1995, 361 (363).<br />
7<br />
vgl. S<strong>im</strong>itis in S<strong>im</strong>itis u.a., BDSG, § 1 Rdnr. 16.<br />
8<br />
Nitsch, ZRP 1995, 361 (363).<br />
9<br />
S<strong>im</strong>itis in S<strong>im</strong>itis u.a., BDSG, § 1 Rdnr. 16.<br />
10<br />
Sasse, Festschrift für W. Mallmann (1978), 224 ff. (225 f).<br />
11<br />
Wind, Die Kontrolle des <strong>Datenschutz</strong>es <strong>im</strong> nicht-öffentlichen Bereich (1994),<br />
S. 46 u. 172.<br />
108
<strong>Datenschutz</strong>richtlinie 12 weitergehende Zwangsmittel der Behörden<br />
eingeführt werden müssen (vgl. Art. 28 III EG-DSRl), es muß aber<br />
bezweifelt werden, ob die mangelhafte Ausstattung der Behörden<br />
angesichts knapper Finanzen der öffentlichen Hand in absehbarer<br />
Zeit behoben werden wird. Auch die Ansprüche, die das BDSG den<br />
Betroffenen selbst einräumt, haben in der Praxis keine Abhilfe gebracht.<br />
Die Gründe hierfür liegen auch hier nicht zuletzt in der offenen<br />
Formulierung und Unbest<strong>im</strong>mtheit der einschlägigen Vorschriften,<br />
die eine Klage des Betroffenen auf Löschung oder Berichtigung<br />
seiner Daten (§ 35 BDSG) mit einem nicht unerheblichen Prozeßrisiko<br />
belastet. 13 Hinzu tritt ein oft geringes Interesse der Betroffenen<br />
an einer gerichtlichen Durchsetzung ihrer Rechte, da eine Beeinträchtigung<br />
durch rechtswidrige Datenverarbeitung außerhalb einiger<br />
sensibler Bereiche (Arbeitsplatz, Bankgeschäfte u.ä.) oft nicht wahrgenommen<br />
wird. 14 Aber selbst wenn ein Betroffener zum Beispiel<br />
seinen Anspruch auf Löschung seiner Daten erfolgreich durchsetzt,<br />
bewirkt dies für den Verarbeiter kaum einschneidende Folgen. Erhebliche<br />
Schadensersatzforderungen braucht er nicht zu fürchten, da<br />
ein Ersatz für nicht-materielle Schäden (also für die rechtswidrige<br />
Verarbeitung der Daten selbst) regelmäßig nicht erfolgen wird. 15 Die<br />
Straf- und Bußgeldvorschriften, die §§ 43 f. BDSG vorsehen, können<br />
ebenfalls keine tatsächliche Beachtung des BDSG sicherstellen. Die<br />
Bußgeldvorschrift des § 44 BDSG bezieht sich nur auf Verstöße<br />
gegen best<strong>im</strong>mte formale Vorschriften des BDSG, meist in Zusammenhang<br />
mit dem Zusammenspiel zwischen Aufsichtsbehörde und<br />
Datenverarbeiter. Die Strafvorschrift des § 43 BDSG sieht sich erheblichen<br />
verfassungsrechtlichen Bedenken ausgesetzt, da in sie alle<br />
Unsicherheiten, die bei der Anwendung des BDSG auftreten, einfließen.<br />
16 Die präventive Wirkung ist durch den geringen Bekanntheitsgrad<br />
beeinträchtigt. 17 Zudem ist eine Strafverfolgung nur auf Antrag<br />
des Betroffenen möglich (§ 43 IV BDSG). Der Betroffene muß also<br />
12<br />
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom<br />
24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener<br />
Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 vom<br />
23.11.1995.<br />
13<br />
v. Westerholt, Festschrift für Beier (1996), 561 (574).<br />
14<br />
v. Westerholt, Festschrift für Beier (1996), 561 (574).<br />
15<br />
vgl. Schneider, CR 1993, 35 (39).<br />
16<br />
vgl. Dammann in S<strong>im</strong>itis u.a., BDSG, § 43 Rn. 8.<br />
17<br />
vgl. Dammann in S<strong>im</strong>itis u.a., BDSG, § 43 Rn. 8.<br />
109
erst einmal Kenntnis von der unrechtmäßigen Verarbeitung seiner<br />
Daten erlangen. Bei seiner Entscheidung über einen Strafantrag wird<br />
dann auch wieder das oft geringe subjektive Interesse an der Nicht-<br />
Verarbeitung seiner Daten eine Rolle spielen. Verurteilungen aufgrund<br />
dieser Vorschrift sind nicht ersichtlich. Die Sanktionen für<br />
BDSG-Verstöße bewirken wegen der beschriebenen Unzulänglichkeiten<br />
keinen "gesunden Druck" 18 auf die Datenverarbeiter, von sich<br />
aus zur Vermeidung von einschneidenden Sanktionen die Einhaltung<br />
des <strong>Datenschutz</strong>es sicherzustellen.<br />
C. Nutzung von Sanktionen des Wettbewerbsrechts<br />
Angesichts der unzureichenden <strong>Instrumente</strong>, die das derzeitig geltende<br />
<strong>Datenschutz</strong>recht selbst zu seiner tatsächlichen Durchsetzung<br />
vorsieht, ist zu überlegen, ob die Sanktionen anderer Rechtsgebiete<br />
für den Zweck des <strong>Datenschutz</strong>es nutzbar gemacht werden können,<br />
um den erforderlichen "gesunden Druck" zur Einhaltung des <strong>Datenschutz</strong>rechts<br />
auszuüben. In diesem Zusammenhang erscheint ein<br />
Blick auf das Wettbewerbsrecht besonders vielversprechend. Dieses<br />
Rechtsgebiet ist hauptsächlich <strong>im</strong> Gesetz gegen den unlauteren<br />
Wettbewerb (UWG) normiert. Es stellt insbesondere über die Verbandsklagen<br />
des § 13 UWG und das vorgeschaltete Abmahnwesen<br />
hoch wirksame Sanktionen bereit. Selbstverständlich ist es aber nicht<br />
möglich, diese Sanktion, so hilfreich sie auch dem Datenschützer<br />
erscheinen mag, einfach aus dem UWG "auszuleihen". Das UWG<br />
darf nicht zum Sheriff des ordnungsgemäßen Vollzuges aller möglichen<br />
Gesetze gemacht werden. 19 Eine Verbandsklage nach § 13<br />
UWG ist nur zur Durchsetzung eines wettbewerbsrechtlichen Anspruchs<br />
möglich. Es kommt also darauf an, ob ein Verstoß gegen das<br />
<strong>Datenschutz</strong>recht zugleich auch einen solchen Anspruch auslöst.<br />
Dies erscheint angesichts der zunehmenden Bedeutung, die Informationen<br />
für den wirtschaftlichen Erfolg eines Unternehmens haben<br />
durchaus nicht abwegig. Informationen sind zu einem Wirtschaftsgut<br />
geworden. 20 Diese Informationen bestehen oft aus personenbezogenen<br />
Daten (z.B. Anschriftenliste, Einsatzprofile einer Kreditkarte…)<br />
oder sind aus ihnen gewonnen worden (z.B. Marktforschungsergeb-<br />
18<br />
Schneider, CR 1993, 35 (39).<br />
19<br />
Tilmann, GRUR 1991, 796 (798).<br />
20<br />
Büllesbach, RDV 1997, 239 (239).<br />
110
nisse, die sich nicht mehr auf individuelle Personen beziehen, sondern<br />
nur noch statistische Aussagen enthalten). Der Umgang mit<br />
personenbezogenen Daten wird durch das <strong>Datenschutz</strong>recht reguliert,<br />
um Beeinträchtigungen für das Persönlichkeitsrecht der betroffenen<br />
Personen zu vermeiden (§ 1 I BDSG). Sind Informationen einerseits<br />
für den Erfolg eines Unternehmens <strong>im</strong> Wettbewerb entscheidend und<br />
ist andererseits der Umgang mit ihnen durch das <strong>Datenschutz</strong>recht<br />
beschränkt, so sind Wechselbeziehungen zwischen dem Wettbewerbsrecht<br />
- der Regulierung des Wettbewerbsverhaltens - und dem<br />
<strong>Datenschutz</strong>recht naheliegend. Angesichts dieses Zusammenhangs<br />
zwischen <strong>Datenschutz</strong> und Wettbewerb überrascht es nicht, daß sich<br />
in der veröffentlichten Rechtsprechung mehrere Entscheidungen<br />
finden, die wettbewerbsrechtliche Ansprüche auf die Verletzung von<br />
<strong>Datenschutz</strong>best<strong>im</strong>mungen stützen. Soweit ersichtlich fand die Thematik<br />
einen ersten Anklang in einer Entscheidung des OLG Köln<br />
vom 26.3.1982. 21 Da allerdings in dem zu entscheidenden Fall ein<br />
<strong>Datenschutz</strong>verstoß verneint wurde, mußte sich das OLG nicht näher<br />
mit dem Verhältnis von BDSG und UWG befassen. In der Folgezeit<br />
schien die Problematik lange Zeit in Vergessenheit geraten zu sein, 22<br />
wenn auch der BGH best<strong>im</strong>mte Formen der verdeckten Laienwerbung,<br />
bei denen ein Unternehmen seine Kunden bittet, ihm mögliche<br />
Neu-Kunden aus dem Freundes- und Bekanntenkreis zu nennen,<br />
unter anderem auch in Hinblick auf die datenschutzrechtlich bedenkliche<br />
Datenerhebung bei Dritten ohne Kenntnis der Betroffenen als<br />
wettbewerbsrechtlich unzulässig angesehen hat. 23 Ins Rampenlicht<br />
gerückt ist die Schnittstelle zwischen UWG und BDSG schließlich<br />
Mitte der 90er Jahre <strong>im</strong> Zusammenhang mit den Auseinandersetzungen<br />
um Telefonbuch-CD-ROMs. Hier hat das LG Mannhe<strong>im</strong> die<br />
wettbewerbsrechtliche Unzulässigkeit des Vertriebes einer solchen<br />
CD-ROM unmittelbar auch auf einen Verstoß gegen § 4 I BDSG<br />
gestützt. 24 In ähnlich gelagerten Fällen haben sich etliche Gerichte<br />
dieser Argumentation angeschlossen. 25 Im Fall einer Lifestyle-<br />
21<br />
OLG Köln, WRP 1982, 540 = S<strong>im</strong>itis u.a., BDSG Dok. § 24 BDSG 1977 E 4.<br />
22<br />
vgl. v. Westerholt, Festschrift für Beier (1996), 561 (561).<br />
23<br />
BGH, Verdeckte Laienwerbung, NJW 1992, 2419 (2419).<br />
24<br />
LG Mannhe<strong>im</strong>, D-Info 2.0, NJW 1996, 1829 (1831) = CR 1996, 411 m. Anm.<br />
Wuermeling.<br />
25<br />
vgl. OLG Koblenz, DuD 1999, 357; LG Hamburg, CR 1997, 21; LG Stuttgart,<br />
CR 1997, 83; LG Mannhe<strong>im</strong>, CR 1996, 672; LG München I, CR 1998, 83.<br />
111
Befragung 26 hat das LG Stuttgart ebenfalls die datenschutzwidrige<br />
Datenerhebung und -speicherung als Grundlage eines wettbewerbsrechtlichen<br />
Anspruchs herangezogen. 27 Anderer Auffassung war das<br />
OLG Frankfurt, das einen wettbewerbsrechtlichen Unterlassungsanspruch<br />
aufgrund eines <strong>Datenschutz</strong>verstoßes ablehnte. 28 Im Schrifttum<br />
wurde bis vor kurzem das Thema UWG/BDSG nur sehr knapp<br />
behandelt. So hat Knauth in den 80er Jahren <strong>im</strong> Zusammenhang mit<br />
dem von einigen Banken angebotenen Umzugsservice erwogen, daß<br />
ein <strong>Datenschutz</strong>verstoß unter Umständen einen wettbewerbsrechtlichen<br />
Anspruch auslösen könne. 29 Auch in der Literatur wurde das<br />
Thema dann erst wieder in den 90er Jahren aufgegriffen. 30 Eine umfassende<br />
Darstellung der Thematik ist allerdings bisher noch ausgeblieben.<br />
II.<br />
Wettbewerbsrechtliche Folgen von <strong>Datenschutz</strong>verstößen<br />
Das UWG enthält neben zwei Generalklauseln (§§ 1, 3 UWG) eine<br />
Reihe von Sondertatbeständen, die sich insbesondere mit best<strong>im</strong>mten<br />
Werbeformen und Arten von Sonderverkäufen befassen, jedoch keine<br />
erkennbare Affinität zum <strong>Datenschutz</strong>recht aufweisen. <strong>Datenschutz</strong>verstöße<br />
können also nur <strong>im</strong> Rahmen der beiden Generalklauseln<br />
Bedeutung erlangen.<br />
A. <strong>Datenschutz</strong>verstöße und § 3 UWG<br />
Die "kleine Generalklausel" des § 3 UWG verbietet es, <strong>im</strong> geschäftlichen<br />
Verkehr zu Zwecken des Wettbewerbs irreführende Angaben<br />
zu machen. Ein Rechtsverstoß, der <strong>im</strong> Zusammenhang mit einem<br />
angebotenen Produkt oder einer Dienstleistung steht, wird eine solche<br />
Irreführung nur in Ausnahmefällen bewirken. 31 Regelmäßig wird<br />
der Anbieter keine Angaben über die datenschutzrechtlichen Fragen<br />
machen; es ginge zu weit, anzunehmen, das bloße Angebot einer<br />
26<br />
vgl. hierzu Breinlinger, RDV 1997, 247 ff.<br />
27<br />
LG Stuttgart, RDV 1998, 262.<br />
28<br />
OLG Frankfurt/Main, CR 1997, 275 (282).<br />
29<br />
Knauth, in Amann/Lambsdorff, RWW 5.1 Rn. 385.<br />
30<br />
v. Gamm, GRUR 1996, 574 ff., v. Westerholt, Festschrift für Beier (1996), 561<br />
ff., Wuermeling, CR 1996, 414 f.<br />
31<br />
Baumbach/Hefermehl, § 1 UWG Rn. 646.<br />
112
Ware enthalte die stillschweigende Aussage, daß keine Rechtsverstöße<br />
in Zusammenhang mit dieser Ware begangen worden seien. 32<br />
Bedeutung gewinnt § 3 UWG aber zum Beispiel in Hinblick auf das<br />
diskutierte <strong>Datenschutz</strong>audit: eine unberechtigte Werbung mit einer<br />
Auditierung, die tatsächlich gar nicht erfolgt ist, würde gegen § 3<br />
UWG verstoßen und könnte also mit den Mitteln des Wettbewerbsrechts<br />
bekämpft werden.<br />
B. <strong>Datenschutz</strong>verstöße und § 1 UWG<br />
Die "große Generalklausel" des § 1 UWG ist offener formuliert als<br />
§ 3 UWG. Sie unterwirft jede Handlung <strong>im</strong> geschäftlichen Verkehr,<br />
die zu Zwecken des Wettbewerbs erfolgt ("Wettbewerbshandlung"),<br />
dem Maßstab der "guten Sitten". Ein <strong>Datenschutz</strong>verstoß löst also<br />
dann die Sanktionen des § 1 UWG aus, wenn er <strong>im</strong> Wettbewerb erfolgt<br />
und mit dem Rechtsverstoß zugleich auch ein Verstoß gegen<br />
die guten Sitten <strong>im</strong> Sinne des § 1 UWG gegeben ist. Bevor dies für<br />
einzelne denkbare <strong>Datenschutz</strong>verstöße geprüft wird, ist vorab der<br />
Tatbestand des § 1 UWG zu skizzieren.<br />
1. Wettbewerbshandlung<br />
Gegenstand des § 1 UWG ist eine Handlung, die <strong>im</strong> geschäftlichen<br />
Verkehr zu Zwecken des Wettbewerbs erfolgt. Als Handlung kommt<br />
dabei neben einem Tun auch ein pflichtwidriges Unterlassen in Betracht.<br />
33 Handlung <strong>im</strong> geschäftlichen Verkehr ist jede nach außen<br />
gerichtete Tätigkeit, die irgendwie der Förderung eines beliebigen<br />
Geschäftzwecks dient. 34 Kontur erlangt der Begriff vor allem durch<br />
Ausgrenzungen. Danach liegt eine Handlung <strong>im</strong> geschäftlichen Verkehr<br />
bei privaten und rein hoheitlichen, aber auch bei nur betriebsinternen<br />
Handlungen nicht vor. 35 Insbesondere die Ausgrenzung<br />
von Betriebsinterna stellt für BDSG-Verstöße eine erhebliche Hürde<br />
32<br />
Franke, Arbeitsschutz und unlauterer Wettbewerb (1992), S. 29 f.<br />
33<br />
Schünemann, Großkommentar, Einl. UWG Rn. D 194.<br />
34<br />
BGH, Fleischbezug, GRUR 1953, 293 (294); BGH, Betonzusatzmittel, GRUR<br />
1962, 45 (47); Baumbach/Hefermehl, Wettbewerbsrecht, Einl. UWG Rn. 208.<br />
35<br />
BGH, Reparaturversicherung, GRUR 1974, 666 (668); Baumbach/Hefermehl,<br />
Wettbewerbsrecht, Einl. UWG Rn. 208.<br />
113
auf, da Datenverarbeitung häufig betriebsintern erfolgt und insoweit<br />
unmittelbar dem Anwendungsbereich des § 1 UWG zunächst entzogen<br />
erscheint. Ein betriebsinterner Vorgang kann allerdings mit einer<br />
nachfolgenden Handlung <strong>im</strong> geschäftlichen Verkehr in einem so<br />
engen Zusammenhang stehen, daß er in die Beurteilung der Lauterkeit<br />
dieser Handlung einzubeziehen ist. 36 Somit also können auch<br />
zunächst rein betriebsintern erfolgende Verstöße gegen das BDSG<br />
wettbewerbsrechtlich Bedeutung erlangen. Das Erfordernis, daß die<br />
Handlung zu Zwecken des Wettbewerbs erfolgt, wird von Rechtsprechung<br />
und Literatur unterschiedlich gehandhabt. Nach der<br />
Rechtsprechung und dem ihr folgenden Teil der Lehre ist in objektiver<br />
Hinsicht erforderlich, daß die Handlung geeignet ist, den Wettbewerb<br />
einer Person zum Nachteil desjenigen einer anderen zu fördern.<br />
37 Hinzutreten muß eine entsprechende Absicht, 38 die allerdings<br />
bei Gewerbetreibenden regelmäßig vermutet wird. 39 Andere Teile<br />
der Literatur halten das Merkmal, daß die Förderung des Wettbewerbs<br />
einen Nachteil bei einem anderen Mitbewerber bewirken<br />
(bzw. bei abstrakter Betrachtung bewirken können muß) für entbehrlich.<br />
40 Auch das Erfordernis der subjektiven Absicht wird häufig<br />
abgelehnt. 41 Beide Fragen können in dem hier interessierenden Zusammenhang,<br />
ob <strong>Datenschutz</strong>verstöße die Rechtsfolgen des § 1<br />
UWG auslösen können, auf sich beruhen. Sie betreffen allgemeine<br />
Fragen des Wettbewerbsrechts und in Bezug auf das <strong>Datenschutz</strong>recht<br />
ergeben sich keine Besonderheiten. Wesentlich hingegen ist,<br />
worin genau eine relevante Förderung des Wettbewerbs, zu der eine<br />
Handlung zu Zwecken des Wettbewerbs geeignet sein muß, besteht.<br />
Angesichts der großen Spannbreite möglicher Wettbewerbshand<br />
36<br />
Baumbach/Hefermehl, Wettbewerbsrecht, Einl. UWG Rn. 118 u. § 1 UWG,<br />
Rn. 609, 663.<br />
37<br />
BGH, Beitragsrechnung, GRUR 1992, 450 (452), Baumbach/Hefermehl, Wettbewerbsrecht,<br />
Einl. UWG Rn. 215.<br />
38<br />
BGH, Beitragsrechnung, GRUR 1992, 450 (452), Baumbach/Hefermehl, Wettbewerbsrecht,<br />
Einl. UWG Rn. 232.<br />
39<br />
BGH, Torsana, GRUR 1962, 34 (36), Baumbach/Hefermehl, Einl. UWG<br />
Rn. 235.<br />
40<br />
Schünemann, Großkommentar, Einl. UWG Rn. D 225 ff.<br />
41<br />
Schünemann, Großkommentar, Einl. UWG Rn. D 243.<br />
114
lungen wird man sich damit begnügen müssen, daß eine irgendwie<br />
geartete Förderung des Wettbewerbs ausreichend ist. 42 Auf eine<br />
quantitative Steigerung von Absatz oder Bezug kommt es also nicht<br />
an. 43<br />
2. Verstoß gegen die guten Sitten<br />
Es überrascht kaum, daß sich sehr verschiedene Ansätze entwickelt<br />
haben, den Begriff der "guten Sitten" <strong>im</strong> Sinne des § 1 UWG zu<br />
best<strong>im</strong>men. Ausgehend von diesen grundlegenden Konzepten haben<br />
sich wiederum Unterschiede in der Behandlung best<strong>im</strong>mter Fallgruppen<br />
<strong>im</strong> Rahmen des § 1 UWG ergeben. Die Frage, ob ein Verstoß<br />
gegen die guten Sitten aufgrund eines Rechtsverstoßes gegen<br />
eine Norm außerhalb des UWG gegeben ist, wird unter dem Stichwort<br />
"Rechtsbruch" diskutiert. Im Rahmen dieser Arbeit ist es nicht<br />
möglich, auch nur die wichtigsten Konzepte zur Best<strong>im</strong>mung der<br />
guten Sitten und die hieraus folgenden Regeln für die Fallgruppe<br />
Rechtsbruch darzustellen. Eine Beschränkung der Darstellung auf<br />
den Ansatz der Rechtsprechung und neueren Entwicklungen in der<br />
Literatur ist unerläßlich.<br />
a) Ansatz der Rechtsprechung<br />
Nach Ansicht der Rechtsprechung verstößt ein Verhalten dann gegen<br />
die guten Sitten <strong>im</strong> Sinne des § 1 UWG, wenn es dem Anstandsgefühl<br />
der beteiligten Verkehrskreise widerspricht oder von der Allgemeinheit<br />
mißbilligt und für untragbar angesehen wird. 44 Maßgeblich<br />
hierfür sind insbesondere die Regeln der Sittlichkeit, allerdings nicht<br />
als alleiniger Maßstab. 45 So spielt etwa die Unterscheidung zwischen<br />
Leistungs- und Nichtleistungswettbewerb eine wichtige Rolle. 46 In<br />
42<br />
Baumbach/Hefermehl, Wettbewerbsrecht, Einl. UWG Rn. 215; Schünemann,<br />
Großkommentar, Einl. UWG Rn. D 236.<br />
43<br />
BGH, stern, GRUR 1967, 256 (257).<br />
44<br />
BGH, Busengrapscher, BGHZ 130, 5 (7); Baumbach/Hefermehl, Wettbewerbsrecht,<br />
Einl. UWG Rn. 66.<br />
45<br />
BGH, Busengrapscher, BGHZ 130, 5 (7 f.).<br />
46<br />
BGH, Stuttgarter Wochenblatt I, BGHZ 51, 236 (242); Piper in Köhler/Piper,<br />
UWG, Einf. Rn. 176, 178.<br />
115
der Fallgruppe Rechtsbruch geht die Rechtsprechung davon aus, daß<br />
nur ein Verstoß gegen eine sogenannte wertbezogene Norm bereits<br />
per se als sittenwidrig anzusehen ist. 47 Bei sonstigen wertneutralen<br />
Normen müssen hingegen weitere Umstände hinzutreten. 48 Als ein<br />
solcher Umstand wird vor allem ein ungerechtfertigter Vorteil, den<br />
ein Wettbewerber gegenüber seinen gesetzestreuen Mitbewerbern<br />
durch den Rechtsverstoß erhält, angesehen. Wertbezogen sind solche<br />
Normen, die entweder selbst einem sittlichen Gebot entsprechen oder<br />
aber ein wichtiges Gemeinschaftsgut schützen, so daß ihre Einhaltung<br />
einem sittlichen Gebot entspricht. 49 Der Kreis dieser wichtigen<br />
Gemeinschaftsgüter ist dabei zusehends angewachsen. Als wichtige<br />
Gemeinschafsgüter wurden von Rechtsprechung und Literatur zunächst<br />
vor allem die Volksgesundheit 50 und die Funktionsfähigkeit<br />
der Rechtspflege angesehen. 51 Im Laufe der Zeit wurden weitere<br />
"wichtige Gemeinschaftsgüter" entdeckt. So sah der BGH auch <strong>im</strong><br />
Schutz der Rundfunkfreiheit den Schutz eines wichtigen Gemeinschaftsgutes.<br />
52 Auch der Jugendschutz wurde als wichtiges Gemeinschaftsgut<br />
angesehen. 53 In der Literatur finden sich in den letzten<br />
Jahren häufig Bestrebungen, auch den Umweltschutz in den Kreis<br />
der wichtigen Gemeinschaftsgüter aufzunehmen, 54 ein Gedanke, der<br />
vom OLG Köln aufgegriffen worden ist. 55 Vereinzelt werden auch<br />
Regelungen des Urheberrechts als wertbezogen angesehen, da sie vor<br />
dem sittlich verwerflichen geistigen Diebstahl schützen sollen. 56<br />
Schließlich erklärten in Zusammenhang mit den Telefon-CD-<br />
Auseinandersetzungen einige instanzgerichtliche Entscheidungen<br />
auch das vom BDSG geschützte Recht auf informationelle Selbstbest<strong>im</strong>mung<br />
zu einem wichtigen Gemeinschaftsgut. 57 Angesichts der<br />
47<br />
BGH, Werbung <strong>im</strong> Programm, BGHZ 110, 278 (289 f).<br />
48<br />
BGH, Flughafen-Zubringerdienst, GRUR 1973, 146 (147).<br />
49<br />
BGH, Werbung <strong>im</strong> Programm, BGHZ 110, 278 (290); Baumbach/Hefermehl,<br />
Wettbewerbsrecht, § 1 UWG, Rn. 614.<br />
50<br />
z.B. BGH, Apothekenpflichtige Arzne<strong>im</strong>ittel, BGHZ 22, 167 (180); Baumbach/<br />
Hefermehl, Wettbewerbsrecht, § 1 UWG, Rn. 615.<br />
51<br />
BGH, Preisbindungsüberwachungs-Treuhand, BGHZ 48, 12 (17), Baumbach/<br />
Hefermehl, Wettbewerbsrecht, § 1 UWG, Rn. 623.<br />
52<br />
BGH, Werbung <strong>im</strong> Programm, BGHZ 110, 278 (289 f).<br />
53<br />
OLG Hamburg, NJW-RR 1997, 745 (746).<br />
54<br />
Brandner/ Michael, NJW 1992, 278 (279); Friedrich, WRP 1988, 641 (643).<br />
55<br />
OLG Köln, Plastik-Tragetaschen, BB 1993, 1387 (1387).<br />
56<br />
Seifert, ZUM 1985, 81 (84).<br />
57<br />
OLG Koblenz, DuD 1999, 357; LG Hamburg, CR 1997, 21; LG Mannhe<strong>im</strong>,<br />
116
grundlegenden Bedeutung, welche die informationelle Selbstbest<strong>im</strong>mung<br />
als Voraussetzung einer demokratischen Gesellschaftsordnung<br />
58 hat, erscheint dies durchaus nach den Grundsätzen der Rechtsprechung<br />
folgerichtig. Den übrigen wertbezogenen Normen gleichgestellt<br />
ist die Gruppe der unmittelbar wettbewerbsregelnden Normen.<br />
Das sind Normen, die in ihrer Zielsetzung dem § 1 UWG vergleichbar<br />
sind. 59<br />
b) <strong>Neue</strong>re Entwicklungen in der Literatur<br />
Sowohl der grundlegende Ansatz der Rechtsprechung als auch die<br />
Regeln zur Behandlung der Fallgruppe Rechtsbruch sehen sich<br />
scharfer Kritik aus der Literatur ausgesetzt. Das Abstellen der Rechtsprechung<br />
auf die Regeln der Sittlichkeit wird als nicht tragbar angesehen,<br />
da es ein einheitliches sittliches Fundament in der heutigen<br />
durch Pluralismus geprägten Gesellschaft nicht mehr gebe. 60 Die<br />
darauf beruhende Unterscheidung zwischen wertbezogenen und<br />
wertneutralen Normen sei mit nicht lösbaren Abgrenzungsschwierigkeiten<br />
verbunden. 61 Zudem könne sie nicht befriedigen, da sie nicht<br />
auf wettbewerblichen Gesichtspunkten beruhe. 62 Statt dessen wird<br />
vorgeschlagen, den Schutzzweck des UWG stärker zu berücksichtigen.<br />
Nur dann, wenn eine außerwettbewerbliche Norm einen dem<br />
UWG entsprechenden Schutzzweck aufweise, sei in dem Normverstoß<br />
zugleich ein Verstoß gegen die guten Sitten des § 1 UWG zu<br />
sehen. 63 Für die übrigen Normen wird - insoweit in weitgehender<br />
Übereinst<strong>im</strong>mung mit der Rechtsprechung - auf den Vorsprungsgedanken<br />
abgestellt. 64 Die guten Sitten verletzt ein Rechtsverstoß dem-<br />
D-Info 2.0, NJW 1996, 1829/1831; LG Stuttgart, CR 1997, 83; LG Mannhe<strong>im</strong>,<br />
CR 1996, 672; LG München I, CR 1998, 83.<br />
58<br />
vgl. S<strong>im</strong>itis in S<strong>im</strong>itis u.a., BDSG § 1 Rn. 167.<br />
59<br />
BGH, Werbung <strong>im</strong> Programm, BGHZ 110, 278 (291); Baumbach/Hefermehl,<br />
Wettbewerbsrecht, § 1 UWG, Rn. 665.<br />
60<br />
Braun, JuS 1994, 727 (731); Schünemann, Großkommentar, Einl. UWG<br />
Rn. D 19.<br />
61<br />
Schünemann, Großkommentar, Einl. UWG Rn. D 60.<br />
62<br />
Mees, GRUR 1996, 644 (644).<br />
63<br />
Schricker, Gesetzesverletzung und Sittenverstoß, S. 252; Schünemann, Großkommentar,<br />
Einl. UWG Rn. D 62.<br />
64<br />
Schricker, Gesetzesverletzung und Sittenverstoß, S. 260 f.; Schünemann, Großkommentar,<br />
Einl. UWG Rn. D 62.<br />
117
nach dann, wenn er dem Rechtsverletzer einen ungerechtfertigten<br />
Vorteil gegenüber seinen Mitbewerbern einbringt. Dieser Ansatz der<br />
Literatur überzeugt. Er vermeidet die mit dem Abstellen auf sittliche<br />
Wertungen verbundenen Unsicherheiten. Der Schutzzweck des<br />
UWG wird angemessen berücksichtigt. Als Schutzzweck des UWG<br />
wird dabei der Schutz des lauteren Wettbewerbs angesehen. 65 Zum<br />
Teil wird auch der Schutz best<strong>im</strong>mter außerwettbewerblicher<br />
Rechtsgüter, gemeint sind die oben genannten "wichtigen Gemeinschaftsgüter",<br />
als vom Schutzzweck des UWG umfaßt angesehen. 66<br />
Hierfür findet sich aber <strong>im</strong> Gesetz kein Anhaltspunkt. 67 Es ist deshalb<br />
davon auszugehen, daß solche Rechtsgüter nicht vom UWG<br />
besonders geschützt werden. Der Schutzzweck des BDSG, das Persönlichkeitsrecht<br />
des Einzelnen vor Beeinträchtigungen durch den<br />
Umgang mit seinen Daten zu schützen (§ 1 I BDSG), deckt sich also<br />
nicht mit dem Schutzzweck des UWG. 68 Verstöße gegen Normen des<br />
BDSG vermögen also nur mittels des Vorsprungsgedankens wettbewerbsrechtliche<br />
Relevanz zu entfalten.<br />
3. Wettbewerbsvorteile durch <strong>Datenschutz</strong>verstöße<br />
Im folgenden werden die <strong>Instrumente</strong> des <strong>Datenschutz</strong>es daraufhin<br />
untersucht, ob und unter welchen Umständen ein Verstoß gegen sie<br />
einem Wettbewerber einen ungerechtfertigten Vorteil gegenüber<br />
seinen Mitbewerbern vermitteln kann. Aufgrund der Eigenheit des<br />
<strong>Datenschutz</strong>es, als Querschnittsmaterie eine sehr große Zahl unterschiedlicher<br />
Lebensbereiche zu erfassen, ist dabei auch der jeweilige<br />
Zweck der Datenverarbeitung zu berücksichtigen.<br />
a) Unzulässige Datenerhebung<br />
Kernstück des <strong>Datenschutz</strong>rechts sind die Zulässigkeitsregeln. Gemäß<br />
dem in § 4 I BDSG zum Ausdruck gekommenen Verbotsprinzip<br />
ist die Verarbeitung personenbezogener Daten nur dann zulässig,<br />
wenn der Betroffene eingewilligt hat oder ein gesetzlicher Erlaub-<br />
65<br />
Schünemann, Großkommentar, Einl. UWG Rn. D 45.<br />
66<br />
Baumbach/Hefermehl, Wettbewerbsrecht, § 1 UWG, Rn. 612.<br />
67<br />
Tilmann, WRP 1987, 293 (297).<br />
68<br />
ebenso v. Westerholt, Festschrift für Beier (1996), 561 (569).<br />
118
nistatbestand die Verarbeitung erlaubt. Die Erhebung personenbezogener<br />
Daten selbst ist bisher noch nicht vom Verbotsprinzip umfaßt.<br />
Dies wird sich allerdings <strong>im</strong> Rahmen der Anpassung des BDSG an<br />
die EG-<strong>Datenschutz</strong>richtlinie ändern müssen (Art. 7 i.V.m. Art. 2 lit.<br />
b)). Jedoch ist auch bisher für das BDSG anerkannt, daß eine Datenerhebung<br />
unzulässig ist und gegen § 28 I 2 BDSG verstößt, wenn sie<br />
mit der Absicht erfolgt, die gewonnen Daten anschließend auf eine<br />
unzulässige Weise weiterzuverarbeiten. 69 Hieraus ergibt sich, daß bei<br />
einer geplanten date<strong>im</strong>äßigen Weiterverarbeitung bereits bei der<br />
Erhebung die Einwilligung des Betroffenen in die beabsichtigte Verarbeitung<br />
einzuholen ist, soweit die Verarbeitung nicht auf einen<br />
gesetzlichen Erlaubnistatbestand gestützt werden kann. Geschieht<br />
dies nicht oder nicht ordnungsgemäß, so ist nicht erst die Speicherung<br />
der Daten rechtswidrig, sondern bereits die Erhebung der Daten.<br />
Erheben ist das Beschaffen von Daten über den Betroffenen (§ 3<br />
IV BDSG), es findet also nicht betriebsintern statt, sondern regelmäßig<br />
<strong>im</strong> geschäftlichen Verkehr. Anders kann es <strong>im</strong> Bereich der Arbeitnehmerdaten<br />
liegen, wenn Daten betriebsintern bei den eigenen<br />
Beschäftigten erhoben werden. Ob nun eine Erhebung auch zu Zwecken<br />
des Wettbewerbs erfolgt, ist nach dem Zweck der Erhebung zu<br />
unterscheiden. Erfolgt die Erhebung zu Zwecken des Direktmarketings,<br />
sollen die gewonnenen Daten also später dazu benutzt werden,<br />
geeignete Adressaten für best<strong>im</strong>mte Werbemaßnahmen auszuwählen,<br />
ist von einem solchen Handeln zu Zwecken des Wettbewerbs auszugehen.<br />
70 Die Erhebung der Daten dient in solchen Fällen bereits der<br />
Verbesserung des Absatzes der beworbenen Produkte und Dienstleistungen.<br />
In anderen Fällen erscheint dies zweifelhaft. Generell<br />
sind personenenbezogene Daten durchaus als Wirtschaftsgut anzusehen.<br />
Dies läßt es gerechtfertigt erscheinen, die Erhebung solcher<br />
Daten dort als Handeln zu Zwecken des Wettbewerbs anzusehen, wo<br />
sie als eigenständiges Wirtschaftsgut genutzt werden und nicht lediglich<br />
der Erfüllung anderer Zwecke dienen sollen. Dies wird in den<br />
Fällen des § 29 BDSG regelmäßig der Fall sein. Zu denken ist insbesondere<br />
an die Tätigkeit von Auskunfteien, die geradezu mit der<br />
Ware "personenbezogene Daten" handeln. Kein Handeln zu Zweckes<br />
des Wettbewerbs liegt vor, wenn die erhobenen Daten lediglich zur<br />
Abwicklung eines Vertrages mit dem Betroffenen etc. verwendet<br />
69<br />
Gola/Schomerus, BDSG, § 28 Anm. 4.1.<br />
70<br />
so auch v. Westerholt, Festschrift für Beier (1996), 561 (568).<br />
119
werden sollen. In solchen Fällen kommt den Daten keine eigenständige<br />
Bedeutung als Wirtschaftsgut <strong>im</strong> Wettbewerb zu. Dies gilt insbesondere<br />
für den Bereich der Arbeitnehmerdaten, deren (rechtswidrige)<br />
Verarbeitung allerdings erhebliche Vorteile aus betriebswirtschaftlicher<br />
Sicht begründen kann. Diese betriebswirtschaftlichen<br />
Vorteile stellen aber eben nicht unmittelbar Vorteile <strong>im</strong> Wettbewerb<br />
dar. Eine Erhebung von Arbeitnehmerdaten erfolgt daher grundsätzlich<br />
nicht zu Zwecken des Wettbewerbs. Unterliegt die Datenerhebung<br />
dem Anwendungsbereich des § 1 UWG, so ist zu fragen, ob<br />
eine unzulässige Datenerhebung zu einem Wettbewerbsvorteil führt.<br />
Ein solcher Wettbewerbsvorteil kann darin gesehen werden, daß die<br />
erhebende Stelle Daten erhält, die sie auf rechtmäßige Weise so nicht<br />
erlangt hätte. Deutlich wird das etwa anhand einer Verbraucherbefragung<br />
(insbesondere die in letzter Zeit zu beobachtenden Lifestyle-<br />
Umfragen), bei der umfassende Daten über das Konsumverhalten<br />
erhoben werden. Wird die Ausfüllung des Bogens zudem mit der<br />
Teilnahme an einem Gewinnspiel versüßt, jedoch nicht deutlich gemacht,<br />
daß diese Daten personenbezogen weitervermarktet werden<br />
sollen, liegt es auf der Hand, daß hier mit mehr Rückläufen zu rechnen<br />
ist, als bei der Einhaltung der gesetzlichen Vorgaben anzunehmen<br />
wäre, da dann den Betroffenen die Tragweite ihres Handelns<br />
deutlich würde. 71 Ähnliches gilt für eine Datenerhebung, die entgegen<br />
den Geboten von Treu und Glauben bei Dritten und nicht bei<br />
dem Betroffenen selbst erfolgt. 72 Bittet ein Unternehmen seine bereits<br />
gewonnenen Kunden, ihm mögliche Interessenten aus dem Bekanntenkreis<br />
zu nennen und erhebt hier formularmäßig Daten über<br />
das Konsumverhalten dieser Bekannten, wird es qualitativ besser<br />
verwertbare Daten erhalten, als wenn es die Gewinnung der Daten<br />
potentieller Kunden datenschutzkonform gestaltet hätte. Bei einer<br />
solchen Gestaltung müßte etwa auf die Angabe best<strong>im</strong>mter sensibler<br />
Merkmale der potentiellen Neu-Kunden verzichtet werden. Dann<br />
würden deren Belange nicht mehr durch die Datenerhebung bei<br />
Dritten erheblich beeinträchtigt. Das Unternehmen jedoch müßte auf<br />
diese aus seiner Sicht wertvollen Angaben verzichten. Eine andere<br />
datenschutzkonforme Gestaltung könnte in einem indirekten Verfahren<br />
liegen: Die bestehenden Kunden werden gebeten, ihre Bekannten<br />
über das Angebot des Unternehmens zu informieren, und diese dann<br />
71<br />
vgl. LG Stuttgart, RDV 1998, 262 (262).<br />
72<br />
vgl. S<strong>im</strong>itis in S<strong>im</strong>itis u.a., BDSG § 28 Rn. 67.<br />
120
zu bitten, ihrerseits mit dem Unternehmen Kontakt aufzunehmen. In<br />
einem solchen Fall wird das Unternehmen mit einem deutlich geringeren<br />
Rücklauf der Werbeaktion zu rechnen haben.<br />
b) Unzulässige Weiterverarbeitung<br />
Die eigentliche Verarbeitung <strong>im</strong> Sinne des § 4 I BDSG wird regelmäßig<br />
betriebsintern stattfinden. Auch soweit ein Auftragsdatenverarbeiter<br />
eingeschaltet wird (§ 11 BDSG), ist ein Handeln <strong>im</strong> geschäftlichen<br />
Verkehr aufgrund der maßgeblichen wirtschaftlichen<br />
Betrachtungsweise 73 nicht gegeben. Ein Handeln <strong>im</strong> geschäftlichen<br />
Verkehr ist dagegen denkbar, wenn Daten übermittelt werden, denn<br />
hier verlassen sie wieder den betriebsinternen Bereich. Auch eine<br />
Nutzung vorhandener Datenbestände für einen Dritten (z.B. Vermietung<br />
eines Adreßbestandes an einen Dritten für eine Werbeaktion)<br />
läßt sich wirtschaftlich betrachtet als Handeln <strong>im</strong> geschäftlichen<br />
Verkehr ansehen. Entsprechendes gilt, wenn eigene Datenbestände<br />
auch für eigene Werbung genutzt werden. Allerdings erscheinen<br />
auch rein intern bleibende Verarbeitungsvorgänge nicht vollkommen<br />
irrelevant für den Wettbewerb. Nutzt ein Unternehmen etwa eigene<br />
und erworbene Datenbestände dazu, detaillierte Profile über die Betroffenen<br />
zu erzeugen, ist dies angesichts der verbesserten Nutzbarkeit<br />
solcher aufbereiteten Daten für die spätere Werbung nicht unbedeutsam.<br />
Da jedoch ein Einsatz dieser Daten <strong>im</strong> Wettbewerb eine<br />
weitere Verarbeitung erfordert und eine Weiterverarbeitung vorher<br />
rechtswidrig verarbeiterer Daten unzulässig ist, besteht kein Bedürfnis,<br />
diese betriebsintern bleibenden Vorgänge eigenständig in Bezug<br />
auf Folgen für den Wettbewerb zu betrachten. Gegebenenfalls ist an<br />
die Möglichkeit einer vorbeugenden Unterlassungsklage zu denken.<br />
Ein Handeln zu Zwecken des Wettbewerbs wird wie bei der Datenerhebung<br />
auch hier anzunehmen sein, wenn Daten tatsächlich als<br />
eigenständiges Wirtschaftsgut übermittelt oder genutzt werden. Zu<br />
denken ist wiederum an Maßnahmen des Direktmarketings. Aber<br />
auch der Verkauf einer Datensammlung, z.B. einer Telefon-CD, ist<br />
als Handeln zu Zwecken des Wettbewerbs anzusehen. Hierbei kann<br />
ein Vorteil <strong>im</strong> Wettbewerb bei einer datenschutzrechtlich unzulässigen<br />
Übermittlung oder Nutzung darin gesehen werden, daß die ü-<br />
73<br />
vgl. BGH, Branchenverzeichnis, GRUR 1971, 119 (120).<br />
121
ermittelnde Stelle Daten zur Verfügung hat bzw. stellen kann, wie<br />
es gesetzestreu handelnden Mitbewerbern nicht möglich ist. Dies<br />
ermöglicht zum Beispiel zielgenaueres Direktmarketing, das höhere<br />
Chancen der wohlwollenden Beachtung bei den Adressaten hat. 74 Bei<br />
einer angebotenen Datenbank mit personenbezogenen Daten kann<br />
sich die Unzulässigkeit der Übermittlung auch gerade aus den gebotenen<br />
Recherchefunktionen ergeben. Erlaubt eine Telefon-CD etwa<br />
die Suche auch nach unvollständigen Telefonnummern oder den<br />
Rückschluß von Telefonnummer auf Anschlußinhaber, kann hierin<br />
die datenschutzrechtliche Unzulässigkeit der Übermittlung der entsprechenden<br />
Daten liegen. Diese Suchfunktionen, die ein gesetzestreuer<br />
Wettbewerber nicht bieten kann, bedeuten ebenfalls einen<br />
Wettbewerbsvorteil.<br />
c) Sonstige <strong>Instrumente</strong> des <strong>Datenschutz</strong>es<br />
Die verbleibenden <strong>Instrumente</strong> des BDSG befassen sich vorwiegend<br />
mit Fragen der innerbetrieblichen Organisation der datenverarbeitenden<br />
Unternehmen. Ein unmittelbarer Bezug zwischen einem Verstoß<br />
gegen solche Vorschriften - etwa die Pflicht zu technischorganisatorischen<br />
Maßnahmen nach § 9 BDSG oder die Bestellung<br />
eines betrieblichen <strong>Datenschutz</strong>beauftragten (§§ 36, 37 BDSG) - zu<br />
einer Wettbewerbshandlung ist nicht ersichtlich. Allerdings kann ein<br />
Zurückbleiben hinter den gesetzlichen Vorgaben in diesen Fällen<br />
dem Unternehmen Kostenersparnisse einbringen, die je nach Art und<br />
Größe des Unternehmens durchaus erheblich sein können. In diesen<br />
- zunächst rein betriebsintern bleibenden - Ersparnissen ist aber noch<br />
kein relevanter Wettbewerbsvorteil zu sehen, der eine Anwendung<br />
des § 1 UWG auslösen könnte. 75 Nur wenn die Einsparungen nicht<br />
bloß die Gewinnspanne vergrößern, sondern tatsächlich <strong>im</strong> Wettbewerb<br />
eingesetzt werden, um etwa das eigene Angebot preislich<br />
günstiger zu gestalten, ist ein Vorteil <strong>im</strong> Wettbewerb gegeben. Dieser<br />
muß jedoch spürbar, also nicht bloß unerheblich sein. 76 Diesbezüglich<br />
werden sich je nach Branche, Größe des Unternehmens und<br />
Bedeutung der Datenverarbeitung für das Unternehmen Unterschiede<br />
74<br />
Schweiger/Wilde in Hilke [Hrsg.] "Direkt-Marketing", Wiesbaden 1993, S. 89<br />
(92).<br />
75<br />
Baumbach/Hefermehl, Wettbewerbsrecht, § 1 UWG, Rn. 656.<br />
76<br />
Baumbach/Hefermehl, Wettbewerbsrecht, § 1 UWG, Rn. 656.<br />
122
ergeben. So wird ein Auftragsdatenverarbeiter, für den eine ordnungsgemäße<br />
Durchführung des § 9 BDSG einen erheblichen Kostenaufwand<br />
bedeutet, gegebenenfalls eine größere Kostenersparnis<br />
aufgrund eines Zurückbleibens hinter den gesetzlichen Anforderungen<br />
<strong>im</strong> Wettbewerb erreichen können, als ein kleines Unternehmen,<br />
das ausschließlich für eigene Zwecke Daten verarbeitet. Es ist aber<br />
kaum anzunehmen, daß solche Fallgestaltungen in der Praxis Bedeutung<br />
erlangen werden. Um den Anspruch aus § 1 UWG gerichtlich<br />
durchzusetzen, müßte dem Beklagten nicht nur der Verstoß gegen<br />
das BDSG, sondern auch die daraus folgende Kostenersparnis<br />
und schließlich auch noch der Einsatz dieser Ersparnis <strong>im</strong> Wettbewerb<br />
nachgewiesen werden.<br />
III. Ergebnis<br />
Nur ein Ausschnitt der denkbaren Verstöße gegen datenschutzrechtliche<br />
Best<strong>im</strong>mungen vermag - und auch dies nur in best<strong>im</strong>mten Fällen<br />
- Sanktionen des Wettbewerbsrechts auszulösen. Dies betrifft<br />
insbesondere die Datenverarbeitung zu Zwecken des Direktmarketings<br />
oder in den Fällen des § 29 BDSG, in denen die verarbeiteten<br />
und zur Übermittlung best<strong>im</strong>mten Daten tatsächlich als Ware erscheinen.<br />
Weite Bereiche des <strong>Datenschutz</strong>es bleiben hingegen ausgenommen,<br />
insbesondere soweit sie best<strong>im</strong>mte innerbetriebliche<br />
Vorkehrungen verlangen. Dies mag aus der Sicht des <strong>Datenschutz</strong>es<br />
enttäuschen. Dennoch ist das Ergebnis hinzunehmen: Wettbewerbsrecht<br />
dient eben dem Schutz des Wettbewerbs, nicht dem Schutz der<br />
informationellen Selbstbest<strong>im</strong>mung. Wo es aber eingreift, ist das<br />
UWG eine willkommene Ergänzung der unzureichenden BDSG-<br />
Sanktionen.<br />
123